Назад | Перейти на главную страницу

SNORT предупреждает только о входящем трафике

Я пытаюсь поднять предупреждение, когда кто-то устанавливает соединение с PORT 25 (tcp), независимо от источника или назначения. Для этого я придумал такое простое правило:

alert tcp any any -> any 25 (msg:"Email sent"; sid:10001337007;)

Из клиента Windows я попытался сканировать открытые порты на сервере, на котором запущен SNORT, и, как и ожидалось, выдает следующее предупреждение:

Jan 19 23:23:52 HSOC01 snort[7678]: [1:1411402415:0] Email sent {TCP} 192.168.0.134:50848 -> 192.168.0.26:25

Однако при сканировании открытых портов (от того же клиента Windows) на, скажем, контроллер домена, никаких предупреждений не возникает.

Кроме того, открытие соединения с почтовым сервером через порт 25 ничего не запускает.

Может кто-нибудь объяснить, что происходит?

Если Snort не является встроенным или не получает трафик из диапазона / тапа, он не будет видеть трафик, который не поступает в / из окна Snort. Если это не помогает, расскажите нам о топологии вашей сети и о том, где находится Snort.