Назад | Перейти на главную страницу

анализ snort захвата wirehark

Я пытаюсь выявить проблемных пользователей в нашей сети. ntop определяет пользователей с высоким трафиком и высоким подключением, но вредоносным программам не всегда требуется высокая пропускная способность, чтобы действительно все испортить. Поэтому я пытаюсь провести автономный анализ с помощью snort (не хочу обременять маршрутизатор встроенным анализом трафика 20 Мбит / с). Очевидно snort обеспечивает -r вариант для этой цели, но я не могу запустить анализ.

Система анализа - gentoo, amd64, если это имеет значение. Я уже использовал oinkmaster для загрузки последних подписей IDS. Но когда я пытаюсь запустить snort, я получаю следующую ошибку:

% snort -V

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2010 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.11 2010-12-10
           Using ZLIB version: 1.2.5

%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/

(вырезать)

273 out of 1024 flowbits in use.

[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 314
|     1 byte states : 304
|     2 byte states : 10
|     4 byte states : 0
| Characters        : 69371
| States            : 58631
| Transitions       : 3471623
| State Density     : 23.1%
| Patterns          : 3020
| Match States      : 2934
| Memory (MB)       : 29.66
|   Patterns        : 0.36
|   Match Lists     : 0.77
|   DFA
|     1 byte states : 1.37
|     2 byte states : 26.59
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

net-libs / daq установлен, но я даже не хочу захватывать трафик, я просто хочу обработать файл захвата.

Какие параметры конфигурации следует установить / отключить, чтобы выполнять автономный анализ вместо захвата в реальном времени?

Я не знаком конкретно с Gentoo, но вы можете попробовать использовать флаг «--daq-list», чтобы увидеть, какие (если есть) модули DAQ видит Snort.

например:

# snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv

Затем используйте флаг «--daq-dir», чтобы указать Snort на каталог, содержащий библиотеки DAQ.

snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/ --daq-dir /usr/local/lib/daq/

Я не совсем уверен, что это за исправление, но оно может быть связано с USE-флагами, указанными для компиляции snort. Об этом сообщается в следующих ПОЧТА Сообщение, я думаю, также содержит временное решение.

Я бы посоветовал использовать другой дистрибутив / windows или спросить на форумах Gentoo о проблемах сборки с Snort.

Я всегда так делаю:

  1. Создайте виртуальную сетевую карту eth10
  2. Воспроизвести трафик на eth10
  3. Захват трафика на eth10

Создать виртуальную сетевую карту

Я помещаю это в сценарий bash, делаю его исполняемым (chmod + x script.sh) и выполняю его:

#!/usr/bin/env bash

modprobe dummy
lsmod | grep dummy
ip link set name eth10 dev dummy0
ip link show eth10
ifconfig eth10 hw ether 00:22:22:ff:ff:ff
ip link show eth10
ip addr add 192.168.100.199/24 brd + dev eth10 label eth10:0
ifconfig eth10 up
ifconfig eth10 promisc

Воспроизвести трафик

Получить tcpreplay и делай:

sudo tcpreplay -i eth10 -T nano mypcap.pcap

Захватить трафик

Сделайте snort sniff:

sudo snort -i eth10 -u snort -g snort -c /etc/snort/snort.conf