Snort on CentOS 5.5 64bit - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Snort on CentOS 5.5 64bit

[Discussion] Snort on CentOS 5.5 64bit	17/11/2010 10:12:15 (+0700) \| #1 \| 225033

Mai Vu
Member

Joined: 15/11/2010 03:29:45
Messages: 3
Offline

Hi các Bro

Mình install snort xong service snortd đã OK. Nhưng khi chạy snort -c /etc/snort/snort.conf -l /var/log/snort/ -A console -i eth0 thi có warning như sau :

Warning: flowbits key 'email.pdf' is checked but not ever set.
Warning: flowbits key 'aiff_file.request' is set but not ever checked.
Warning: flowbits key 'http.jpeg' is set but not ever checked.
Warning: flowbits key 'http.ppt' is set but not ever checked.
Warning: flowbits key 'http.oless.v3' is set but not ever checked.
Warning: flowbits key 'access.download' is set but not ever checked.
Warning: flowbits key 'wav_file.request' is set but not ever checked.
Warning: flowbits key 'http.mp3' is set but not ever checked.
Warning: flowbits key 'starttls.attempt' is set but not ever checked.
Warning: flowbits key 'http.rtf' is set but not ever checked.
Warning: flowbits key 'caff_request' is set but not ever checked.
Warning: flowbits key 'tlsv1.client_hello.request' is checked but not ever set.
Warning: flowbits key 'chm_content_type' is set but not ever checked.
Warning: flowbits key 'xls.download' is set but not ever checked.
Warning: flowbits key 'smb.tree.create.sql.query' is set but not ever checked.
Warning: flowbits key 'http.bmp' is checked but not ever set.
Warning: flowbits key 'http.oless.v4' is set but not ever checked.
Warning: flowbits key 'pop3.stat' is set but not ever checked
......................

Xin hỏi có bị gì không ?

Với lại Snort không giám được toàn mạng chỉ alert khi ping đến Snort với rule test như sau :
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: "ICMP Packet found";sid:1000111 smilie

Cho hỏi mình có config gì sai trong snort.conf hay không

Chân thành cảm ơn các Bro

[Discussion] Snort on CentOS 5.5 64bit	17/11/2010 10:21:11 (+0700) \| #2 \| 225036

lanmc
Member

Joined: 06/10/2010 11:04:40
Messages: 30
Offline

Bạn nên thảy nội dung snort.conf lên smilie

[Discussion] Snort on CentOS 5.5 64bit	17/11/2010 10:38:36 (+0700) \| #3 \| 225038

Mai Vu
Member

Joined: 15/11/2010 03:29:45
Messages: 3
Offline

Chỉ chỉnh những dòng sau :

var HOME_NET 192.168.1.0/24
var EXTERNAL_NET !$HOME_NET
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules

output alert_unified: filename snort.alert, limit 128
output log_unified: filename snort.log, limit 12

Ngoài ra để default cả

Thanks Bro

[Discussion] Snort on CentOS 5.5 64bit	17/11/2010 14:21:18 (+0700) \| #4 \| 225045

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Mai Vu wrote:

Xin hỏi có bị gì không ?

Cho hỏi mình có config gì sai trong snort.conf hay không

Vô trong phần e-book của diễn đàn mà tải một cuốn viết về snort rồi đọc thật kỹ và thực hành. Không có ai nhảy lên xe máy, khởi động xe, chạy một đỗi rồi mới hỏi "muốn nhấn thắng hay nhấn ga thì làm sao".

What bringing us together is stronger than what pulling us apart.

[Discussion] Snort on CentOS 5.5 64bit	17/11/2010 15:53:24 (+0700) \| #5 \| 225058

Mai Vu
Member

Joined: 15/11/2010 03:29:45
Messages: 3
Offline

chào bác conmale. Cám ơn bác đã góp ý. Em cũng đọc rồi nhưng đang bị lỗi phần config mong bác giúp

Thanks bác

[Discussion] Snort on CentOS 5.5 64bit	02/12/2010 16:58:32 (+0700) \| #6 \| 226173

edge
Member

Joined: 12/07/2010 21:33:41
Messages: 5
Offline

Với lại Snort không giám được toàn mạng chỉ alert khi ping đến Snort với rule test như sau :
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: "ICMP Packet found";sid:1000111

Không giám sát được toàn mạng vì traffic không được forward (hoặc mirror) trên các port của switch và chuyển đến port mà snort nối vào, nên snort sẽ không thể phân tích các gói tin trên các port khác.

Go to:

Users currently in here
1 Anonymous