TRONG TRANG ACID MÌNH BỊ LÕI NÀY KHÔNG HIỂU SAO CÓ THỂ CHỈNH SỬA ĐƯƠC khi mình vào phần search thì hiện ra như sau : -năm thì chỉ giới hạn 2004 mình không biết sửa thế nào -lỗi trong phần search: mỉnh tìm trên mạng thì nó bảo không hợp với bản PHP5 mình chưa thử với PHP4 nên không biết có đúng không. Mình đang cài trên UNBUTU rất mong mọi người giúp đỡ MINH XIN CHÂN THÀNH CẢM ƠNBồ cài theo tài liệu nào?]]>
Chào các anh! Mình gặp phải vấn đề sau: mình đã cài đặt Snort và Base thành công, chạy thử và cũng có alert. Nhưng base không hiển thị traffic gì hết, còn alert thì chỉ hiển thị một thông tin ngắn ngủi là Added 3 alert(s) to the Alert cache, khi refesh lại là thông tin này lập tức biến mất và cũng không thể tìm thấy lại chúng. Mình đã kiểm tra trong acid_event table thì có rất nhiều alert còn lưu lại, nhưng Base không thể hiển thị. Thanks các anh trước!- File cấu hình của Snort thế nào? - File cấu hình của Base ra sao? - Snort được start bằng lệnh gì? PS: Tìm lại các chủ đề Snort + Base đã có trên diễn đàn.]]>
Chào Quanta! Mình đã đọc qua một số tài liệu về Snort trên forum và các sites khác. Theo mình nghĩ như thế này: - Trong table acid_event có báo động, tức là việc kết nối giữa Snort và Mysql tốt.OK, vậy vấn đề còn lại chỉ là tại sao Base không chọc vào MySQL lấy dữ liệu ra và hiển thị trên đồ thị được thôi. Nguyên nhân có thể là gì nhỉ? blackholesun wrote:
- Khi mình chạy Snort với kiểu console thì có các báo động trôi qua màn hình, và đồng thời lúc đó cũng có sự thay đổi ở Base, nhưng không theo kiểu báo động thường thấy ở Base, mà chỉ hiển thị dưới dạng Alert Cache. Hiện nay mình chưa hiểu đối với Base thì Alert Cache là gì?À, theo mình hiểu thì: alert cache nôm na là để cache các alert :^), dưới dạng các DB tables. blackholesun wrote:
Dưới đây là câu lệnh mình dùng để chạy Snort: /usr/local/bin/snort -A console -c /usr/local/src/snort.conf -K ascii -i eth1Thử chạy dưới dạng daemon và test một rule đơn giản như ở /hvaonline/posts/list/24507.html#193151 xem. PS: File cấu hình Base đã sửa/thêm các thứ liên quan đến MySQL rồi chứ?]]>
Hi Quanta! Theo mình thì Base đã "chọc" được vào Mysql để lấy các Alert ra, vì sao lại như vậy? Vì khi trên console có báo động thì Base lập tức thể hiện dòng chữ sau màu đỏ: Added x alert(s) to the Alert cache. Nhưng khi mình chủ động click sang link khác hay refresh(do Base hay do mình) thì dòng chữ đó biến mất. Và mình không tìm thấy bất kì thông tin gì về các Alert nữa.Biến mất là đúng rồi còn gì nữa, thế mới gọi là 'cache'. Các đồ thị của TCP, UDP, ICMP... đều là 0% hết à, tóm lại bạn cho xin cái screenshot cho nó dễ hình dung. Trước đây bạn có thử output là kiểu gì đó khác không? Xóa hết dữ liệu cũ trong /var/log/snort rồi thử lại xem. PS: Bạn đang dùng Snort với Base phiên bản bao nhiêu vậy?]]>
Bạn vui lòng đưa file cấu hình snort.conf và base_conf.php lên đây mình xem thử!Mình cũng đã hỏi từ post thứ /hvaonline/posts/list/31612.html#195588 mà không thấy bạn ấy trả lời, kể cũng lạ.]]>
$alert_dbname = 'snort';
$alert_host = 'localhost';
$alert_port = '';
$alert_user = 'xyz';
$alert_password = 'xyz';
/* Archive DB connection parameters */
$archive_exists = '1'; # Set this to 1 if you have an archive DB
$archive_dbname = 'snort_archive';
$archive_host = 'localhost';
$archive_port = '';
$archive_user = 'xyz';
$archive_password = 'xyz';
output database: log, mysql, user=xyz password=xyz dbname=snort host=localhost
Hi all! Khi mình chạy dòng lệnh sau : pear install Image_Graph-alpha Image_Canvas-alpha Image_color Numbers_Roman Thì nhận được thông báo lỗi: HTTP error, got response: HTTP/1.1 410 Gone Didn't receive 200 OK from remote server. (HTTP/1.1 410 Gone) Các bạn có thể chỉ giúp mình cách khắc phục được không? Mình nghĩ các thông tin về TCP,UDP,ICMP không hiển thị có thể do các thành phần trên chưa được cài đặt Thanks!Bạn nhấp thử vào cái link Graph Alert Data, thiếu gì nó sẽ báo cáo ngay. Kiểm tra lại: - echo "SELECT COUNT( *) FROM snort.event" | mysql -u snort -p - ps -ef | grep snort xem snort được start thế nào? - Thử thêm output database: alert... rồi tạo một rule đơn giản như gợi ý ở trên và tail -f /var/log/snort/alert xem có gì không? PS: Chạy pear channel-update pear.php.net trước đã.]]>
Hi Quanta! Theo mình thì Base đã "chọc" được vào Mysql để lấy các Alert ra, vì sao lại như vậy? Vì khi trên console có báo động thì Base lập tức thể hiện dòng chữ sau màu đỏ: Added x alert(s) to the Alert cache. Nhưng khi mình chủ động click sang link khác hay refresh(do Base hay do mình) thì dòng chữ đó biến mất. Và mình không tìm thấy bất kì thông tin gì về các Alert nữa. Hiện nay mình đang nghĩ theo hướng: phiên bản PHP mình cài trên máy có ảnh hưởng gì đến problem này không? Cảm ơn Quanta đã quan tâm! :)Điều này có, nhìn hình ở dưới tôi không thấy các traffic profile xuất hiện cho nên tôi đoán rằng, trước kiên bro chắc chắn rằng gd, php-gd và các gói cài đặt liên quan đến BASE đã được cài đặt rồi hay chưa ? Sau đó kiểm tra cấu hình snort để ouput alert cũng không muộn. Good luck]]>
Bạn nhấp thử vào cái link Graph Alert Data, thiếu gì nó sẽ báo cáo ngay.Error loading the Graphing library: Check your Pear::Image_Graph installation! * Image_Graph can be found here:at http://pear.veggerby.dk/. Without this library no graphing operations can be performed. * Make sure PEAR libraries can be found by php at all: pear config-show | grep "PEAR directory" PEAR directory php_dir /usr/share/pear This path must be part of the include path of php (cf. /etc/php.ini): php -i | grep "include_path" include_path => .:/usr/share/pear:/usr/share/php => .:/usr/share/pear:/usr/share/php Vậy là mình có trục trặc trong việc cài pear, mình sẽ tìm cách giải quyết cái này. quanta wrote:
echo "SELECT COUNT( *) FROM snort.event" | mysql -u snort -pCOUNT( *) 64 Khi mình dùng lệnh ps -ef | grep snort thì thấy snort được start theo đúng câu lệnh của mình tranhuuphuoc wrote:
trước kiên bro chắc chắn rằng gd, php-gd và các gói cài đặt liên quan đến BASE đã được cài đặt rồi hay chưa ?Mỉnh đã cài đầy đủ các gói cần thiết: php-pdo-5.1.6-23.2.el5_3 php-odbc-5.1.6-23.2.el5_3 php-pear-1.4.9-4.el5.1 php-cli-5.1.6-23.2.el5_3 php-ldap-5.1.6-23.2.el5_3 php-5.1.6-23.2.el5_3 php-gd-5.1.6-23.2.el5_3 php-common-5.1.6-23.2.el5_3 php-mysql-5.1.6-23.2.el5_3 Thanks!]]>
Chào các bạn! Mình đang tìm một giải pháp tạm thời khác để thay thế cho BASE, trước mắt mình sẽ dùng syslog server để lấy alert từ Snort, các bạn có thể gợi ý giúp mình một soft Syslog server trên Windows được không? Miễn phí càng tốt. Thanks!Sao bạn không tiếp tục với Base vậy? Hiện tại đang vướng ở đâu?]]>
blackholesun wrote:Mình chạy Snort để thử nghiệm và dùng Nmap để scan thì trên console xuất hiện alert, nhưng trong BASE không hiển thị alert và profile traffic cũng không có gì luôn, chưa biết giải quyết ntn. Mình định dùng syslog tạm thời. Thanks!]]>
Chào các bạn! Mình đang tìm một giải pháp tạm thời khác để thay thế cho BASE, trước mắt mình sẽ dùng syslog server để lấy alert từ Snort, các bạn có thể gợi ý giúp mình một soft Syslog server trên Windows được không? Miễn phí càng tốt. Thanks!Sao bạn không tiếp tục với Base vậy? Hiện tại đang vướng ở đâu?
Khi mình dùng lệnh ps -ef | grep snort thì thấy snort được start theo đúng câu lệnh của mìnhLà lệnh gì, sao không gửi cụ thể lên? blackholesun wrote:
Mình chạy Snort để thử nghiệm và dùng Nmap để scan thì trên console xuất hiện alert, nhưng trong BASE không hiển thị alert và profile traffic cũng không có gì luôn, chưa biết giải quyết ntn./hvaonline/posts/list/28965.html#193229 Mình đề nghị bạn test thử vài cái rules đơn giản sao không thấy bạn phản hồi gì nhỉ?]]>
Thử lại lần nữa xem, lần này dùngHi tranhuuphuoc! Sau khi làm như bạn chỉ cho tất cả các gói thì mình không còn nhận thông báo lỗi như ban đầu lúc vào Graph Alert Data nữa, hiện ra một trang trắng trơn (chắc là do chưa có alert để vẽ). Nhưng khi chạy các lệnh trên thì mình nhận được một số thông báo lỗi (mình post lên nhờ các bạn phân tích giúp nhé), ví dụ như:pear install --alldeps --ignore-errors Image_Graph-alphaCác gói pear sau cũng tương tự Good luck
pear install --alldeps --ignore-errors Image_color Numbers_Roman Skipping package "pear/Image_color", already installed as version 1.0.3 pear/Numbers_Roman requires PEAR Installer (version >= 1.5.0), installed version is 1.4.11 downloading Numbers_Roman-1.0.2.tgz ... Starting to download Numbers_Roman-1.0.2.tgz (6,210 bytes) .....done: 6,210 bytes Validation Error: This package.xml requires PEAR version 1.5.0 to parse properly, we are version 1.4.11 Parsing of package.xml from file "/tmp/pear/cache/package.xml" failed Download of "pear/Numbers_Roman" succeeded, but it is not a valid package archive Error: cannot download "pear/Numbers_Roman"Lúc này các traffic vẫn chưa hiển thị, mình vẫn đang run snort. Thanks all!]]>
Mình đã kiểm tra như thông báo, thì kết quả đúng như hiển thị nhưng không biết vì sao vẫn còn báo lỗi Mình start Snort bằng lệnh sau: /usr/local/bin/snort -A console -c /usr/local/src/snort.conf -K ascii -i eth1. Sau đó dùng ps thì thấy snort đang run đúng như vậy.Bạn có hiểu -A console nghĩa là gì không? ]]>
Hi quanta! Mình dùng -A console vì muốn các alert hiện ngay trên màn hình console hiện tại của mình, nếu muốn ghi vào /...alert thì mình đổi thành -A fast. Không biết cách dùng của mình có gì sai không, nhờ bạn chỉ giúp? Thanks!Bạn thử đề nghị ở post số /hvaonline/posts/list/0/31612.html#195641 chưa?]]>
Thành công! Mình đã chỉnh ở khóa sau trong base_conf.php: /* Type of DB connection to use * 1 : use a persistant connection (pconnect) * 2 : use a normal connection (connect) */ $db_connect_method = 1; Mình chỉnh từ 2 thành 1.Mặc định là 1 mà, bạn "nghịch" thành 2 rồi quên mất à?]]>
blackholesun wrote:Chắc trong quá trình mình làm rồi quên :^) Nhưng hiện tại trong Base của mình chỉ lấy các dữ liệu từ ngày 30/9, giống như là đang sử dụng cache vậy, chứ không lấy theo thời gian thực, mặc dù mình tiếp tục sử dụng nmap để test thì có alert bình thường.]]>
Thành công! Mình đã chỉnh ở khóa sau trong base_conf.php: /* Type of DB connection to use * 1 : use a persistant connection (pconnect) * 2 : use a normal connection (connect) */ $db_connect_method = 1; Mình chỉnh từ 2 thành 1.Mặc định là 1 mà, bạn "nghịch" thành 2 rồi quên mất à?
Hi tranhuuphuoc! Sau khi làm như bạn chỉ cho tất cả các gói thì mình không còn nhận thông báo lỗi như ban đầu lúc vào Graph Alert Data nữa, hiện ra một trang trắng trơn (chắc là do chưa có alert để vẽ). Nhưng khi chạy các lệnh trên thì mình nhận được một số thông báo lỗi (mình post lên nhờ các bạn phân tích giúp nhé), ví dụ như:Thử chạypear install --alldeps --ignore-errors Image_color Numbers_Roman Skipping package "pear/Image_color", already installed as version 1.0.3 pear/Numbers_Roman requires PEAR Installer (version >= 1.5.0), installed version is 1.4.11 downloading Numbers_Roman-1.0.2.tgz ... Starting to download Numbers_Roman-1.0.2.tgz (6,210 bytes) .....done: 6,210 bytes Validation Error: This package.xml requires PEAR version 1.5.0 to parse properly, we are version 1.4.11 Parsing of package.xml from file "/tmp/pear/cache/package.xml" failed Download of "pear/Numbers_Roman" succeeded, but it is not a valid package archive Error: cannot download "pear/Numbers_Roman"Lúc này các traffic vẫn chưa hiển thị, mình vẫn đang run snort. Thanks all!
pear upgrade-all pear install Image_Graph-alpha Image_color Image_Canvas-alphaSau đó gởi thông tin lên forum Nếu không được thì thử chạy
pear channel-update “pear.php.net” pear upgrade-all pear install Image_Graph-alpha Image_color Image_Canvas-alpha]]>
Qua vụ này, bài học rút ra là: - Học lại cách đưa thông tin làm sao cho đầy đủ (chỉ cần gửi 1 lần và người khác không cần hỏi lại gì cả) - Nếu có các câu hỏi, gợi ý được đưa ra, nhớ phản hồi cho bằng hết.Thanks các bạn HVA rất nhiều, đặc biệt là quanta và tranhuuphuoc, mình sẽ rút kinh nghiệm. Vấn đề tiếp theo mình quan tâm là dùng Snort tập trung vào traffic mail, bảo vệ mail server và vấn đề DDOS. Các bạn có thể gợi ý cho mình một số link hay tài liệu các bạn đánh giá cao để mình tham khảo nhé. Thanks!]]>
Vấn đề tiếp theo mình quan tâm là dùng Snort tập trung vào traffic mail, bảo vệ mail server và vấn đề DDOS.Không rõ cái mô hình Snort mà bạn đang triển khai thế nào? Bạn dùng Hub hay là Switch với cấu hình SPAN port?
Các bạn có thể gợi ý cho mình một số link hay tài liệu các bạn đánh giá cao để mình tham khảo nhé./book/Syngress%20-%20Snort2.1IntrusionDetectionSecondEdition.zip http://books.google.com.vn/books?id=W2xN6XmedWIC&printsec=frontcover&dq=snort#v=onepage&q=&f=false]]>
Vấn đề tiếp theo mình quan tâm là dùng Snort tập trung vào traffic mail, bảo vệ mail server và vấn đề DDOS.Có lẽ cần phải khai triển thêm các ý: - tập trung vào traffic mail - bảo vệ mail server]]>
mình cũng bị chỗ hiển thị trên BASE chỗ TCP,ICMP thì hiển thị traffic profile bình thường,còn chỗ Portscan traffic nó chỉ hiện <1% thôi khi dùng nmap scanport,chứ ko thấy màu đỏ gì cả.kể cũng lạ.nhưng nó vẫn cảnh báo có scan port.BASE hiển thị <1% và bạn không thấy "màu đỏ", thì mình nghĩ ít quá làm sao nó hiển thị được.]]>