我没有与 SNORT 合作过很多,也没有做过太多的研究,但这听起来可能。
如果我设置一个服务器并在其上运行 snort。那么是否可以像防火墙一样将我所有的流量通过它路由到我的网站?这会让我有一个中心点来过滤掉所有不良流量吗?
至于转发,我应该使用GRE隧道还是有更好的方法?如果可能,我想尝试保留客户端的 IP。
所以我可以运行 HA Proxy/nGinx 作为转发网站流量并将客户端 IP 保留在数据包中的一种方式,而不是最终将每个客户端都作为代理服务器的 IP。
期待在几个 FreeBSD 防火墙上部署 IDS/IPS,我很好奇 snort 和 suricata 之间的区别。我知道 Suricata 是多线程的,但在规则处理和其他工作方式方面,是否有任何真正的区别应该让我选择另一个?
我在 Windows Server 2008 R2 x64 上使用 Snort 2.9,配置非常简单,如下所示:
# Entire content of Snort.conf:
alert tcp any any -> any any (sid:5000000; content:"_secret_"; msg:"TRIGGERED";)
# command line:
snort.exe -c etc/Snort.conf -l etc/log -A console
使用我的浏览器,我将 URL 中的字符串“_secret_”发送到我的服务器(Snort 所在的位置)。例子:http://myserver.com/index.php?_secret_
Snort 收到它并发出警报,它可以工作,没问题!但是当我尝试这样的事情时:
<?php // (index.php)
header('XTest: _secret_'); // header
echo '_secret_'; // data
?>
如果我只是请求http://myserver.com/index.php,即使 php 文件在标头和数据中发送相同的字符串,但没有压缩/编码或任何其他内容,它也不起作用或从传出流量中检测到任何内容。(我使用 Wireshark 检查过)
在我看来,这就像 Snort 问题。无论我做什么,它都只会检测接收到的数据包。有没有人在 Snort 上遇到过这种问题?知道如何解决吗?
我有一台暴露在互联网上的服务器,我想提供一些针对 DDOS 攻击的保护。目前,我正在考虑使用 fail2ban 和/或 snort。我知道他们有不同的工作方式。据我了解,Fail2Ban 监控日志文件以确定入侵并通过 snort 监控传入的包。
我应该同时使用两者吗?仅使用其中之一就足够了吗?什么功能是唯一的,而不是另一个?我担心的一个问题是性能。snort 可能会减慢我们的网络速度吗?
我正在尝试在兼作路由器的 debian 机器上设置 snort 作为 ID。理想情况下,我想以这种方式设置 snort,这样我就不必购买额外的网络适配器,只是让它侦听 debian 机器已经处理的相同流量。话虽如此,从接口镜像流量,然后将镜像流量发送到 snort 的最佳方法是什么?或者你会建议我走不同的路线吗?我在想一座桥可能会起作用,但我不确定这是否是正确的解决方案,任何帮助将不胜感激,谢谢!
我意识到这是一个笨拙/初学者的问题,但我在中国受到了几个地址的攻击,我不知道如何解决这个问题。
我的 snort 日志(是的,我正在使用 snort!我看到你印象深刻)显示如下内容:
TCP端口扫描
[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3]
11/09-06:48:46.652278 58.218.199.227 -> 208.69.57.101
PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:166 DF
并且fragmentation overlap:
[**] [123:8:1] (spp_frag3) Fragmentation overlap [**]
[Priority: 3]
11/09-06:25:44.678218 208.69.57.102 -> 183.177.114.1
UDP TTL:64 TOS:0x0 ID:33670 IpLen:20 DgmLen:1500 MF
Frag Offset: 0x0000 Frag Size: 0x05C8
我不明白这是什么意思,但我认为这意味着有人正在从 58.218.199.227(208.69.57.101 是我的 IP 地址)对我进行端口扫描。他们还分散了我的重叠部分,我对此并不友好。
这是alertsnort生成的文件。我的服务器提供商关闭了我的服务器,因为他说昨晚有 60 GB 的数据传输。
那我现在该怎么办?