荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: georgehill (人生不定式), 信区: Linux
标 题: Snort-FAQ(转寄)
发信站: BBS 荔园晨风站 (Fri Sep 8 17:51:21 2000), 站内信件
【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: xuzq (奔腾), 信区: Security
标 题: Snort-FAQ(转寄)
发信站: BBS 水木清华站 (Thu Sep 7 15:48:36 2000)
% 翻译自snort faq
% 陈永智(cyz@chinasafer.com) 2000/8/25
%
******************************************************************************
*
Snort FAQ
1 读tcpdump文件的-r开关如何使用?
2 如何让snort既记录包头,又记录包的净荷?
3 Snort记录它警告的包的全部内容吗?
4 为什么snort会警告符合pass规则的包?
5 Snort不检查nmap syn扫描,以后会吗?
6 Snort处理ip分片吗?
7 Snort进行tcp流的重装吗?
8 (服务器消息块)Smb警告不不起作用,怎么回事?
9 我希望snort能够根据防火墙/email报告/外部程序的配置自动对事件作出响应,什么时
候能够做到?
10 我没有网卡,没有连接到其他计算机,如何测试snort?
读tcpdump文件的-r开关如何使用?
该开关和snort规则文件联合使用,tcpdump数据可以用来分析有敌意的内容,端口扫描,
或者snort能够探测的其他任何内容。Snrot也可以直接显示编码格式下的包,许多人发现
这比本地的tcpdum输出更容易阅读。
如何让snort既记录包头,又记录包的净荷?
使用命令行选项"-d"
Snort记录它警告的包的全部内容吗?
是的,这些包被记录在产生警告的源主机的ip地址为名字的目录下
Yes, they should be in the directory that has the same IP address as the
source host of the packet which generated the alert.
为什么snort会警告符合pass规则的包?
规则被应用的默认顺序是首先是alert,然后是 pass最后是log。这个顺序策略保证你不
会写了50条alert规则后不小心用一个错误的pass规则把他们都禁止掉。如果你确实想改
变顺序,使pass规则首先被应用,使用命令行开关"-o"
Snort不检查nmap syn扫描,以后会吗?
目前snort没有端口扫描探测模块(目前),所以它不特别地查看进来的进行端口扫描探
测的syn流。同样对与udp也不处理。Snort的2.0版本将会有端口扫描探测机制。
Snort处理ip分片吗?
现在还不。Snort目前有"minfrag"规则选项,这个规则检查过小的ip分片,根据分片的大
小作出警告。这是一个有效的策略,因为实际上没有商用网络设备会产生小于256字节的
ip包,而绝大多数试图掩盖自身的黑客包都把自己分片的尽量小。Minfrag选项允许你指
定一个分片大小的阈值,
snort对于小于此值的包产生警告。2.0版计划实现完整的ip分片重装功能。
Snort进行tcp流的重装吗?
还没有,这在2.0版会有。
(服务器消息块)Smb警告不不起作用,怎么回事?
确认你在运行./configure时包含了"--enable-smbalerts"
我希望snort能够根据防火墙/email报告/外部程序的配置自动对事件作出响应,什么时候
能够做到?
永远也不会。在实现这个功能时引发了严肃的性能和安全问题,已经有了一个比较好的解
决方案:我推荐使用swatch或者logsurfer来实现这个功能。Swatch和logsurfer就是特别
为监视log文件并根据这些文件中的内容作出反应的。使snort执行外部程序会降低系统的
性能,并且可能有以ro
ot权限执行外部程序的危险。
我没有网卡,没有连接到其他计算机,如何测试snort?
你必须在两个虚设备之间路由:
· modprobe -a dummy (The dummy device has to be build by the kernel)
· ifconfig dummy0 192.168.0.1
· ifconfig dummy0:0 192.168.0.2
· telnet 192.168.0.3 12345
重要:第二个ip在同一个接口上,并且不是dummy1或者dummy2,并且你试图访问的ip不是
你设置在接口上的这两个ip。利用snort使用混杂模式监听ip地址范围的能力
(HOMEDIR=192.168.0.0/16)
It's important that the second IP is on the same interface and not e.g.
dummy1 or dummy2 and that the IP you try to access is *not* one of those you
put on the interfaces. Use snort's ability to hear in promiscious mode on an
IP address range.
(HOMEDIR=192.168.0.0/16)
--
※ 来源:·BBS 水木清华站 smth.org·[FROM: 210.73.88.186]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.115]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店