J'ai installé Snort & acidbase par ceci instruction et accédez à cette adresse locale.
127.0.0.1/acidbase/base_main.php
Le problème est après la numérisation avec NMAP par cette commande
Sudo NMAP -P1-65535 -SV -SS -O [Snort Adresse IP installée]
par un autre ordinateur de la sorcière du réseau, une connectivité ping, elle ne montre rien dans le trafic PortScan et il est toujours de 0%. Je suis sûr que la configuration est correcte, car elle enregistre tout le reste et les alertes apparaissent dans le cache d'alerte.
Avez-vous une idée pourquoi Snort ne montre pas l'activité de numérisation de ports?
Édité:
Je détache le "préprocesseur sfportScan", redémarrez Snort Service, PortScaned avec NMAP, résultat: Rien.
préprocesseur SFPORTSCAN: proto {all} memcap {10000000} Sense_level {High}
J'ai entré mon adresse IP exacte dans "ipvar home_net", redémarrez Snort Service, PortScaned avec un autre PC, résultat: Rien.
la ligne comprend
$ PREPROCROC_RULE_PATH/PREPROCESSOR.RULES
est commenté donc il n'y a pas de fichier de préprocesseur.RULES dans ce chemin.
Il faut connaître votre snort.conf et d'autres paramètres de sniff pour répondre à cela. J'essaierai toujours de répondre avec toutes les informations limitées que vous avez fournies.
Dans toutes les probabilités, les paramètres de seuil pour le précupérateur portscan
(appelé sfportscan
si je me souviens bien) sont définis sur une valeur supérieure (par défaut) dans votre snort.conf et le portscan que vous avez fait ne pouvait pas franchir ces valeurs de seuil. Une autre raison pourrait être que votre $HOME_NET
La variable est définie de manière à ce que l'IP que vous numérisant n'est pas dans votre HOME_NET
et ainsi Snort ne se soucie pas de la scanner. Il pourrait également y avoir d'autres raisons, telles que l'IP que vous utilisez pour numériser, ainsi que l'IP cible, les deux font partie de votre HOME_NET
, et donc encore une fois Snort ne se soucie pas d'une analyse Home_Net-to-Home_net.
Vous devez découvrir ces lignes, c'est-à-dire le faire
inclure $ préproc_rule_path/préprocessor.rules
il suffit de permettre à la SFPORTScan ne fera pas tout, vous devez toujours activer les règles et l'action une fois que PortScan est détectée.