当前位置: 技术问答>linux和unix
急呀!!!我的snort怎么只能给出几个类型的alert信息?其他的攻击都识别不出来.
来源: 互联网 发布时间:2015-07-30
本文导语: 我用snort对一个二进制的dump文件进行处理,网络数据存储在这个文件中,命令是: snort -dr ./data/dumpdata -c snort.conf 入侵检测的结果被存放在/var/log/snort下的alert文件中. 可是当我打开这个alert文件时才发现, 几百个alert信...
我用snort对一个二进制的dump文件进行处理,网络数据存储在这个文件中,命令是:
snort -dr ./data/dumpdata -c snort.conf
入侵检测的结果被存放在/var/log/snort下的alert文件中. 可是当我打开这个alert文件时才发现, 几百个alert信息,一共才分为两类:[**] [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER [**]和[**] [1:528:5] BAD-TRAFFIC loopback traffic [**]. 实事上, dump数据包中有大量的probe(ping, IPsweep)和sunrpc攻击, 一个都没检测出来, 而检测出来的alert基本都是误报. 我胡涂了,不知道哪里不对, 我的snort rules是2004年9月18日的, snort版本是2.2, snort.conf中基本都是默认设置, 我想请问各位, 是不是我的配置哪里出了问题, 才导致误报其高,而且只能识别个别的攻击. 还是snort的能力所限, 只能达到这种水平. 请高人多多指点, 多谢!
snort -dr ./data/dumpdata -c snort.conf
入侵检测的结果被存放在/var/log/snort下的alert文件中. 可是当我打开这个alert文件时才发现, 几百个alert信息,一共才分为两类:[**] [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER [**]和[**] [1:528:5] BAD-TRAFFIC loopback traffic [**]. 实事上, dump数据包中有大量的probe(ping, IPsweep)和sunrpc攻击, 一个都没检测出来, 而检测出来的alert基本都是误报. 我胡涂了,不知道哪里不对, 我的snort rules是2004年9月18日的, snort版本是2.2, snort.conf中基本都是默认设置, 我想请问各位, 是不是我的配置哪里出了问题, 才导致误报其高,而且只能识别个别的攻击. 还是snort的能力所限, 只能达到这种水平. 请高人多多指点, 多谢!
|
肯定不是Snort的能力问题。
好像要配置snort.conf文件,
好像在默认情况下snort.conf文件中大部分规则都被注释掉了,没有启用。
好像要配置snort.conf文件,
好像在默认情况下snort.conf文件中大部分规则都被注释掉了,没有启用。
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。