คำถามติดแท็ก snort

1
Snort กำลังรับปริมาณการใช้งาน แต่ไม่ปรากฏว่ากำลังใช้กฎ
ฉันติดตั้ง snort แล้วและทำงานในโหมดอินไลน์ผ่าน NFQUEUE บนท้องที่ของฉัน (ในขณะที่ฉันสามารถเดินในห้องถัดไปและแตะ) เกตเวย์ ฉันมีกฎต่อไปนี้ในของฉัน/etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) กฎนี้เกี่ยวข้องกับแบ็คดอร์ที่พบในเราเตอร์ DLink บางตัว ฉันเลือกกฎนี้เพราะดูเหมือนว่าจะทดสอบได้ง่าย ตัวกฎถูกเพิ่มโดย pullpork จากการคุกคามที่เกิดขึ้นใหม่ดังนั้นฉันจึงสันนิษฐานว่าไวยากรณ์ของกฎนั้นถูกต้อง สำหรับการทดสอบฉันได้กำหนดค่าเกตเวย์ของฉันด้วย lighttpd ที่พอร์ต 80 หันหน้าไปทางอินเทอร์เน็ตและยืนยันว่าสามารถเข้าถึงได้ curl -A 'xmlset_roodkcableoj28840ybtide' …
11 iptables  snort  ips 

2
การตรวจสอบประสิทธิภาพของ Snort
ใช้ snort เวอร์ชั่น 2.8.6 ฉันพยายามรวบรวมสถิติประสิทธิภาพของแอพพลิเคชั่นเช่น จำนวนแพ็กเก็ตที่ไม่ได้ประมวลผลเนื่องจากมีการโอเวอร์โหลดแอปพลิเคชัน เปอร์เซ็นต์เวลาในเลเยอร์การประมวลผล (ตัวประมวลผลล่วงหน้าการประกอบซ้ำการจับคู่รูปแบบ ฯลฯ ) จำนวนของแพ็กเก็ตที่ประมวลผล ฯลฯ ขณะนี้ฉันกำลังใช้ตัวประมวลผลล่วงหน้า perfmonitor เพื่อถ่ายโอนข้อมูลสถิติประสิทธิภาพและสร้างกราฟของค่าเหล่านี้ผ่านการโทร SNMP เอกสารในตัวประมวลผลล่วงหน้านี้ค่อนข้าง จำกัด และไม่สามารถอธิบายได้ว่าฟิลด์หมายถึงอะไรจริง ๆ หรือการคำนวณตัวเลขตามกรอบเวลา ในการรับเมตริกประสิทธิภาพเหล่านั้นฉันควรจะดูฟิลด์ใดและฟิลด์เหล่านั้นวัดได้อย่างไร
11 monitoring  snort 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.