我已经通过 NFQUEUE 在本地(因为我可以走进隔壁房间并触摸它)网关上安装了 snort 并以内联模式运行。我的 中有以下规则/etc/snort/rules/snort.rules:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;)
此规则与在某些 DLink 路由器中发现的后门有关。我选择这个规则是因为它看起来很容易测试。规则本身是由来自新兴威胁的 pullpork 添加的,所以我认为规则语法是正确的。
为了进行测试,我在面向 Internet 的端口 80 上使用 lighttpd 配置了我的网关,并确认它可以访问。然后,在远程机器上,我运行了命令curl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。这会立即将来自 lighttpd 的响应打印到控制台并退出。网关上不会生成 Snort 警报。
此外,netfilter 似乎只使用了我正在运行的四个 snort 进程中的两个。我可以看到这一点,htop因为 CPU 1 和 2 上的 snort 进程在使用 bittorrent 进行测试时会产生沉重的负载……但 CPU 0 和 3 上的 snort 进程仍然完全空闲。
我的测试方法是错误的吗?或者 snort …