web-dev-qa-db-fra.com

Snort (IDS) Ne pas montrer les balayages de port

J'ai installé Snort & acidbase par ceci instruction et accédez à cette adresse locale.

127.0.0.1/acidbase/base_main.php

Le problème est après la numérisation avec NMAP par cette commande

Sudo NMAP -P1-65535 -SV -SS -O [Snort Adresse IP installée]

par un autre ordinateur de la sorcière du réseau, une connectivité ping, elle ne montre rien dans le trafic PortScan et il est toujours de 0%. Je suis sûr que la configuration est correcte, car elle enregistre tout le reste et les alertes apparaissent dans le cache d'alerte.

Avez-vous une idée pourquoi Snort ne montre pas l'activité de numérisation de ports?

Édité:

Je détache le "préprocesseur sfportScan", redémarrez Snort Service, PortScaned avec NMAP, résultat: Rien.

préprocesseur SFPORTSCAN: proto {all} memcap {10000000} Sense_level {High}

J'ai entré mon adresse IP exacte dans "ipvar home_net", redémarrez Snort Service, PortScaned avec un autre PC, résultat: Rien.

la ligne comprend

$ PREPROCROC_RULE_PATH/PREPROCESSOR.RULES

est commenté donc il n'y a pas de fichier de préprocesseur.RULES dans ce chemin.

5
user13934

Il faut connaître votre snort.conf et d'autres paramètres de sniff pour répondre à cela. J'essaierai toujours de répondre avec toutes les informations limitées que vous avez fournies.

Dans toutes les probabilités, les paramètres de seuil pour le précupérateur portscan (appelé sfportscan si je me souviens bien) sont définis sur une valeur supérieure (par défaut) dans votre snort.conf et le portscan que vous avez fait ne pouvait pas franchir ces valeurs de seuil. Une autre raison pourrait être que votre $HOME_NET La variable est définie de manière à ce que l'IP que vous numérisant n'est pas dans votre HOME_NET et ainsi Snort ne se soucie pas de la scanner. Il pourrait également y avoir d'autres raisons, telles que l'IP que vous utilisez pour numériser, ainsi que l'IP cible, les deux font partie de votre HOME_NET, et donc encore une fois Snort ne se soucie pas d'une analyse Home_Net-to-Home_net.

2
pnp

Vous devez découvrir ces lignes, c'est-à-dire le faire

inclure $ préproc_rule_path/préprocessor.rules

il suffit de permettre à la SFPORTScan ne fera pas tout, vous devez toujours activer les règles et l'action une fois que PortScan est détectée.

1
Rahul Dimri