Доброго дня.
Нужна помощь гуру Снорта.
Хочу настроить снорт для обнаружения атак в сети, начиная с этапа сканирования.
Снорт 2.9.14. Ставлю на ВМ под виндой(7). Настраиваю препроцессор sfportscan. ВСЕ РАБОТАЕТ. При сканировании nmap-ом в отдельный файлик падает алерт. Все супер.
Проблемы начинаются, когда хочу настроить то же самое на промышленном сервере. Та же версия снорта, те же правила, тот же конфиг(разумеется с измененными путями). Но алерты не приходят корректно.
А точнее имеет место следующая ситуация...
Запускаю снорт в режиме сниффера с выводом дампа в лог-файл. Запускаю nmap. В логе ВИЖУ пакеты от нмапа. Далее беру этот дамп и прогоняю его через снорт, но уже с применением конфига. И тут начинается самое непонятное...
Я получаю какие-то алерты, но адрес отправителя там не мой, а какой-то другой. НО!!!! Когда я беру дамп, который я прогонял и смотрю его в wireshark-е, то там пакетов с таким адресом отправителя вообще нет)).
Ситуация осложняется тем, что версий снорта много и постоянно что-то меняют, а документация не соответствует версиям. Т.е. в манах к моей версии описываются модули, которых уже давно нет в сборке.
Буду очень признателен за любую помощь в данном вопросе.
Всем добра!
Нужна помощь гуру Снорта.
Хочу настроить снорт для обнаружения атак в сети, начиная с этапа сканирования.
Снорт 2.9.14. Ставлю на ВМ под виндой(7). Настраиваю препроцессор sfportscan. ВСЕ РАБОТАЕТ. При сканировании nmap-ом в отдельный файлик падает алерт. Все супер.
Проблемы начинаются, когда хочу настроить то же самое на промышленном сервере. Та же версия снорта, те же правила, тот же конфиг(разумеется с измененными путями). Но алерты не приходят корректно.
А точнее имеет место следующая ситуация...
Запускаю снорт в режиме сниффера с выводом дампа в лог-файл. Запускаю nmap. В логе ВИЖУ пакеты от нмапа. Далее беру этот дамп и прогоняю его через снорт, но уже с применением конфига. И тут начинается самое непонятное...
Я получаю какие-то алерты, но адрес отправителя там не мой, а какой-то другой. НО!!!! Когда я беру дамп, который я прогонял и смотрю его в wireshark-е, то там пакетов с таким адресом отправителя вообще нет)).
Ситуация осложняется тем, что версий снорта много и постоянно что-то меняют, а документация не соответствует версиям. Т.е. в манах к моей версии описываются модули, которых уже давно нет в сборке.
Буду очень признателен за любую помощь в данном вопросе.
Всем добра!