Я пытаюсь выявить проблемных пользователей в нашей сети. ntop определяет пользователей с высоким трафиком и высоким подключением, но вредоносным программам не всегда требуется высокая пропускная способность, чтобы действительно все испортить. Поэтому я пытаюсь провести автономный анализ с помощью snort (не хочу обременять маршрутизатор встроенным анализом трафика 20 Мбит / с). Очевидно snort обеспечивает -r
вариант для этой цели, но я не могу запустить анализ.
Система анализа - gentoo, amd64, если это имеет значение. Я уже использовал oinkmaster для загрузки последних подписей IDS. Но когда я пытаюсь запустить snort, я получаю следующую ошибку:
% snort -V
,,_ -*> Snort! <*-
o" )~ Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.11 2010-12-10
Using ZLIB version: 1.2.5
%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/
(вырезать)
273 out of 1024 flowbits in use.
[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format : Full-Q
| Finite Automaton : DFA
| Alphabet Size : 256 Chars
| Sizeof State : Variable (1,2,4 bytes)
| Instances : 314
| 1 byte states : 304
| 2 byte states : 10
| 4 byte states : 0
| Characters : 69371
| States : 58631
| Transitions : 3471623
| State Density : 23.1%
| Patterns : 3020
| Match States : 2934
| Memory (MB) : 29.66
| Patterns : 0.36
| Match Lists : 0.77
| DFA
| 1 byte states : 1.37
| 2 byte states : 26.59
| 4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..
net-libs / daq установлен, но я даже не хочу захватывать трафик, я просто хочу обработать файл захвата.
Какие параметры конфигурации следует установить / отключить, чтобы выполнять автономный анализ вместо захвата в реальном времени?
Я не знаком конкретно с Gentoo, но вы можете попробовать использовать флаг «--daq-list», чтобы увидеть, какие (если есть) модули DAQ видит Snort.
например:
# snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv
Затем используйте флаг «--daq-dir», чтобы указать Snort на каталог, содержащий библиотеки DAQ.
snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/ --daq-dir /usr/local/lib/daq/
Я не совсем уверен, что это за исправление, но оно может быть связано с USE-флагами, указанными для компиляции snort. Об этом сообщается в следующих ПОЧТА Сообщение, я думаю, также содержит временное решение.
Я бы посоветовал использовать другой дистрибутив / windows или спросить на форумах Gentoo о проблемах сборки с Snort.
Я всегда так делаю:
Я помещаю это в сценарий bash, делаю его исполняемым (chmod + x script.sh) и выполняю его:
#!/usr/bin/env bash
modprobe dummy
lsmod | grep dummy
ip link set name eth10 dev dummy0
ip link show eth10
ifconfig eth10 hw ether 00:22:22:ff:ff:ff
ip link show eth10
ip addr add 192.168.100.199/24 brd + dev eth10 label eth10:0
ifconfig eth10 up
ifconfig eth10 promisc
Получить tcpreplay
и делай:
sudo tcpreplay -i eth10 -T nano mypcap.pcap
Сделайте snort sniff:
sudo snort -i eth10 -u snort -g snort -c /etc/snort/snort.conf