我看到了这个同样的问题,并谈到这个规则:
alert tcp any any -> any any (flags:S; msg:"NMAP TCP SYN"; sid: 1231213;)
但这是完全错误的,它会在几乎任何类似简单的 HTTP 或 HTTPS 请求时提醒您。
我将这样重申这个问题:
有没有办法通过查看单个 IP 发送的一系列数据包来检测扫描,这些数据包设置了 SYN 标志,并在 Snort 规则中发送到设备上的至少 10 个端口?
我的问题的简短回答:是的。
最近我遇到了一个名为sfportscan的模块,它有很多选项,例如用于保存数据包的内存和带有超时和连接数的分析主题。
要启用sfportscan,您应该
1 - 将此添加到snort.cont通常在/etc/snort/ 中:
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high } \
logfile { alert }
它将查找所有协议和所有类型的扫描,如 SYN、Null 等,并将它们记录在我们在选项logfile 中提到的警报文件的日志目录中(警报是一个实际的文件名)。括号前后的空格很重要,snort 解析器会在没有它们的情况下发出错误。
2 - 运行snort -c "/etc/snort/snort.conf" -T以确保所有配置都正常。
3 - 运行/etc/init.d/snort stop并/etc/init.d/snort start 稍有延迟,以重新启动 Snort。
4 - 打开您的警报文件以查看警报:
tail -f [Address to log Directory]/alert
5 - 测试它是否使用NMAP创建日志,在其他机器上打开另一个终端,然后:
sudo nmap [Your Firewall or NIDS IP Address]
6 - 你应该在尾部文件中看到这样的东西:
Time: 02/23-12:54:21.183932
event_ref: 0
[Source ip address] -> [Destination ip address] (portscan) TCP Portscan
Priority Count: 9
Connection Count: 10
IP Count: 1
Scanner IP Range: [Destination ip address]:[Destination ip address]
Port/Proto Count: 10
Port/Proto Range: 981:12174
我的注意: Snort 是一个很棒的 IDS,它用于许多免费甚至商业产品,但它的文档和示例以及 YouTube 介绍都很差,如果它的社区更多地参与Stackoverflow问题,那就太好了。
| 归档时间: |
|
| 查看次数: |
5846 次 |
| 最近记录: |