Назад | Перейти на главную страницу

Режим ведения журнала Snort - Как определить подсети

Я использую snort для регистрации всего трафика на интерфейсе

snort -i eth1 -l /interface/log/dir -b -U -m 112

С помощью этой команды мне удается получить ВСЕ данные, что делает мои файлы журналов очень большими.

Есть ли способ указать snort только для выходных пакетов, которые приходят или идут в определенный список подсетей? (Больше, чем один)

смотреть на /etc/snort/snort.conf

Вы можете определить свою домашнюю и внешнюю сети. Пока внешние сети обрабатываются, домашние сети игнорируются.

var HOME_NET [10.1.1.0/24,192.168.1.0/24]

вы можете легко расширить этот список.

После того, как вы определили свои разумные и домашние сети, вы можете исключить правила, которые вы не используете или которые не нужно отслеживать.

include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
# include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules

Просто раскомментируйте ненужные правила.