Проблема Обнаружение сканирования сети в Snort

B

Bidjo111

Red Team
14.11.2017
199
73
Доброго дня.

Нужна помощь гуру Снорта.

Хочу настроить снорт для обнаружения атак в сети, начиная с этапа сканирования.

Снорт 2.9.14. Ставлю на ВМ под виндой(7). Настраиваю препроцессор sfportscan. ВСЕ РАБОТАЕТ. При сканировании nmap-ом в отдельный файлик падает алерт. Все супер.

Проблемы начинаются, когда хочу настроить то же самое на промышленном сервере. Та же версия снорта, те же правила, тот же конфиг(разумеется с измененными путями). Но алерты не приходят корректно.

А точнее имеет место следующая ситуация...

Запускаю снорт в режиме сниффера с выводом дампа в лог-файл. Запускаю nmap. В логе ВИЖУ пакеты от нмапа. Далее беру этот дамп и прогоняю его через снорт, но уже с применением конфига. И тут начинается самое непонятное...
Я получаю какие-то алерты, но адрес отправителя там не мой, а какой-то другой. НО!!!! Когда я беру дамп, который я прогонял и смотрю его в wireshark-е, то там пакетов с таким адресом отправителя вообще нет)).

Ситуация осложняется тем, что версий снорта много и постоянно что-то меняют, а документация не соответствует версиям. Т.е. в манах к моей версии описываются модули, которых уже давно нет в сборке.

Буду очень признателен за любую помощь в данном вопросе.

Всем добра!
 
Мы в соцсетях: