Привет, я пытаюсь использовать snort в качестве IDS для некоторых файлов pcap, которые у меня есть, я надеялся получить журнал любых вторжений. Я точно знаю, что в файлах pcap есть сканирование портов, ping и т. Д., Но когда я пробую эту команду:
C: \ Snort \ bin> snort -r c:\snort\log\trace_part01.pcap -l c:\snort\log -c c:\snort\etc\snort.conf -K ascii
Ничего не происходит, я могу записать данные так:
snort -r c:\snort\log\trace_part01.pcap -l c:\snort\log -K ascii
Это структурирует все файлы в соответствующих IP-папках, и у них есть расширение .ids.
Я новичок в использовании snort, поэтому не совсем уверен, как я могу просто обнаружить вторжения в файлах pcap и вывести их в файл.
Я подозреваю, что проблема в вашем файле snort.conf.
У вас есть следующая строка
include $PREPROC_RULE_PATH/preprocessor.rules
раскомментировал? Если нет, раскомментируйте правило, чтобы включить его, и попробуйте снова заставить Snort перечитать файл конфигурации.
Вам также может потребоваться следующая строка в snort.conf установлен высокий, но я не уверен на 100%, что это будет необходимо -
preprocessor sfportscan: proto { all } memcap { 1000000 } sense_level { high } scan_type { all }