荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: georgehill (人生不定式), 信区: Linux
标  题: Snort-FAQ(转寄)
发信站: BBS 荔园晨风站 (Fri Sep  8 17:51:21 2000), 站内信件

【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: xuzq (奔腾), 信区: Security
标  题: Snort-FAQ(转寄)
发信站: BBS 水木清华站 (Thu Sep  7 15:48:36 2000)



%   翻译自snort faq
%   陈永智(cyz@chinasafer.com) 2000/8/25
%
******************************************************************************
*

Snort  FAQ

1 读tcpdump文件的-r开关如何使用?
2 如何让snort既记录包头,又记录包的净荷?
3 Snort记录它警告的包的全部内容吗?
4 为什么snort会警告符合pass规则的包?
5 Snort不检查nmap syn扫描,以后会吗?
6 Snort处理ip分片吗?
7 Snort进行tcp流的重装吗?
8 (服务器消息块)Smb警告不不起作用,怎么回事?
9 我希望snort能够根据防火墙/email报告/外部程序的配置自动对事件作出响应,什么时
候能够做到?
10      我没有网卡,没有连接到其他计算机,如何测试snort?

读tcpdump文件的-r开关如何使用?

该开关和snort规则文件联合使用,tcpdump数据可以用来分析有敌意的内容,端口扫描,
或者snort能够探测的其他任何内容。Snrot也可以直接显示编码格式下的包,许多人发现
这比本地的tcpdum输出更容易阅读。

如何让snort既记录包头,又记录包的净荷?

使用命令行选项"-d"

Snort记录它警告的包的全部内容吗?

是的,这些包被记录在产生警告的源主机的ip地址为名字的目录下
Yes, they should be in the directory that has the same IP address as the
source host of the packet which generated the alert.

为什么snort会警告符合pass规则的包?

规则被应用的默认顺序是首先是alert,然后是 pass最后是log。这个顺序策略保证你不
会写了50条alert规则后不小心用一个错误的pass规则把他们都禁止掉。如果你确实想改
变顺序,使pass规则首先被应用,使用命令行开关"-o"

Snort不检查nmap syn扫描,以后会吗?

目前snort没有端口扫描探测模块(目前),所以它不特别地查看进来的进行端口扫描探
测的syn流。同样对与udp也不处理。Snort的2.0版本将会有端口扫描探测机制。

Snort处理ip分片吗?

现在还不。Snort目前有"minfrag"规则选项,这个规则检查过小的ip分片,根据分片的大
小作出警告。这是一个有效的策略,因为实际上没有商用网络设备会产生小于256字节的
ip包,而绝大多数试图掩盖自身的黑客包都把自己分片的尽量小。Minfrag选项允许你指
定一个分片大小的阈值,
snort对于小于此值的包产生警告。2.0版计划实现完整的ip分片重装功能。

Snort进行tcp流的重装吗?

还没有,这在2.0版会有。

(服务器消息块)Smb警告不不起作用,怎么回事?

确认你在运行./configure时包含了"--enable-smbalerts"

我希望snort能够根据防火墙/email报告/外部程序的配置自动对事件作出响应,什么时候
能够做到?

永远也不会。在实现这个功能时引发了严肃的性能和安全问题,已经有了一个比较好的解
决方案:我推荐使用swatch或者logsurfer来实现这个功能。Swatch和logsurfer就是特别
为监视log文件并根据这些文件中的内容作出反应的。使snort执行外部程序会降低系统的
性能,并且可能有以ro
ot权限执行外部程序的危险。

我没有网卡,没有连接到其他计算机,如何测试snort?

你必须在两个虚设备之间路由:
·      modprobe -a dummy (The dummy device has to be build by the kernel)
·      ifconfig dummy0 192.168.0.1
·      ifconfig dummy0:0 192.168.0.2
·      telnet 192.168.0.3 12345
重要:第二个ip在同一个接口上,并且不是dummy1或者dummy2,并且你试图访问的ip不是
你设置在接口上的这两个ip。利用snort使用混杂模式监听ip地址范围的能力
(HOMEDIR=192.168.0.0/16)
It's important that the second IP is on the same interface and not e.g.
dummy1 or dummy2 and that the IP you try to access is *not* one of those you
put on the interfaces. Use snort's ability to hear in promiscious mode on an
IP address range.
(HOMEDIR=192.168.0.0/16)


--

※ 来源:·BBS 水木清华站 smth.org·[FROM: 210.73.88.186]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.115]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店