• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Обнаружение сканирования сети в Snort

Urfin--Juice

Green Team
14.11.2017
202
61
Доброго дня.

Нужна помощь гуру Снорта.

Хочу настроить снорт для обнаружения атак в сети, начиная с этапа сканирования.

Снорт 2.9.14. Ставлю на ВМ под виндой(7). Настраиваю препроцессор sfportscan. ВСЕ РАБОТАЕТ. При сканировании nmap-ом в отдельный файлик падает алерт. Все супер.

Проблемы начинаются, когда хочу настроить то же самое на промышленном сервере. Та же версия снорта, те же правила, тот же конфиг(разумеется с измененными путями). Но алерты не приходят корректно.

А точнее имеет место следующая ситуация...

Запускаю снорт в режиме сниффера с выводом дампа в лог-файл. Запускаю nmap. В логе ВИЖУ пакеты от нмапа. Далее беру этот дамп и прогоняю его через снорт, но уже с применением конфига. И тут начинается самое непонятное...
Я получаю какие-то алерты, но адрес отправителя там не мой, а какой-то другой. НО!!!! Когда я беру дамп, который я прогонял и смотрю его в wireshark-е, то там пакетов с таким адресом отправителя вообще нет)).

Ситуация осложняется тем, что версий снорта много и постоянно что-то меняют, а документация не соответствует версиям. Т.е. в манах к моей версии описываются модули, которых уже давно нет в сборке.

Буду очень признателен за любую помощь в данном вопросе.

Всем добра!
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab