Cómo saber si Snort está funcionando correctamente
Hola, estaré encantado de responder a tu pregunta.
Agregue algunas reglas simples después del archivo del conjunto de reglas (snort.conf):
.alert?ip?any?any?-gt;?any?any?(msg: "Got ?un?paquete?IP?";?classtype:not-suspicious;
sid:2000000;?rev:1;)?.alert?icmp?cualquiera?cualquiera?-gt;?cualquiera? ¿cualquiera? (msg: "¿Tienes?un?ICMP?Paquete"; ?classtype: no sospechoso;
sid: 2000001; ?rev: 1;)?.alert?icmp?any?any?- gt; ?cualquiera?cualquiera?(msg: "ICMP?Grande?ICMP?Paquete";?dsize:gt;800;
referencia:arachnids,246;?classtype:bad-unknown;?sid: 2000499; ?rev:4;)
Las dos primeras reglas generan alertas al capturar cualquier paquete IP y paquete ICMP respectivamente. Activan alertas sobre cada paquete encontrado, por lo que estas reglas no son adecuadas para su uso en segmentos de red con mucho tráfico de datos. La regla final es modificar una copia de la firma ID 499 para relajar el umbral que genera una alerta, para nuestros propósitos de prueba. Generalmente, se debe evitar relajar los umbrales de alerta ya que esto generará una gran cantidad de alertas falsas.
Finalmente, Snort tiene una opción de función de prueba ("-T") que facilita la detección de cambios de configuración aprobados por el usuario. Puede ingresar el comando "snort -c /etc/snort/snort.conf -T" y ver el resultado para determinar si la configuración modificada está funcionando correctamente. Snort devolverá 0 si funciona correctamente, 1 en caso contrario. Puede utilizar los siguientes dos comandos para demostrarlo: snort -c /etc/snort/snort.conf -T y echo "Código de retorno: utilice snort -c /etc/snort/snort.conf -T en Linux y Windows Utilice snort -c /etc/snort/snort.conf -T En Windows, snort -c ./Snort.conf -T repite el código de retorno: ERRORLEVEL
Debido a la ejecución de varias copias de Snort, es común. tenga una instancia de Snort monitoreando mientras cambia la configuración y la prueba en otra instancia, luego deje de monitorear la instancia de Snort después de que se complete la prueba de configuración y luego reinicie Snort lo antes posible para implementar la configuración modificada.
Algunos Las reglas más antiguas utilizan el indicador de encabezado del Protocolo de control de transmisión para determinar si el paquete pertenece a una conexión de sesión del Protocolo de control de transmisión establecida. Las reglas más nuevas utilizan la palabra clave "establecida" para determinar si el paquete pertenece a una conexión de sesión CCP establecida. palabra clave "establecida" para "verificar" estas cargas útiles para determinar si el paquete pertenece a una sesión CCP establecida, porque deben ser parte de una sesión TCP establecida de acuerdo con la regla correspondiente. Snort puede verificarlas y activar una alerta. La palabra clave es eficaz para reducir los falsos positivos, pero no es eficaz al probar Snort, por lo que utilizamos el Protocolo de mensajes de control de Internet o las reglas personalizadas mencionadas anteriormente.
Si está satisfecho, haga clic en el botón derecho para aceptar la respuesta. Si aún tiene preguntas, haga clic en la pregunta de seguimiento.
Espero que mi respuesta sea útil. para ti, y espero que lo aceptes! ~?O(∩_∩)O~