Я пытаюсь поднять предупреждение, когда кто-то устанавливает соединение с PORT 25 (tcp), независимо от источника или назначения. Для этого я придумал такое простое правило:
alert tcp any any -> any 25 (msg:"Email sent"; sid:10001337007;)
Из клиента Windows я попытался сканировать открытые порты на сервере, на котором запущен SNORT, и, как и ожидалось, выдает следующее предупреждение:
Jan 19 23:23:52 HSOC01 snort[7678]: [1:1411402415:0] Email sent {TCP} 192.168.0.134:50848 -> 192.168.0.26:25
Однако при сканировании открытых портов (от того же клиента Windows) на, скажем, контроллер домена, никаких предупреждений не возникает.
Кроме того, открытие соединения с почтовым сервером через порт 25 ничего не запускает.
Может кто-нибудь объяснить, что происходит?
Если Snort не является встроенным или не получает трафик из диапазона / тапа, он не будет видеть трафик, который не поступает в / из окна Snort. Если это не помогает, расскажите нам о топологии вашей сети и о том, где находится Snort.