Snort: Как я могу получить пакеты?

Question

Snort: Как я могу получить пакеты?

Я недавно установил Snort, и, судя по видео, которое я использовал, он должен начать обнаруживать пакеты. Проблема в том, что его нет, хотя ошибок нет. Выглядит это так:

Decoding Ethernet

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.16-WIN64 GRE (Build 118)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2020 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using PCRE version: 8.10 2010-06-25
           Using ZLIB version: 1.2.11

           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 3.1  <Build 1>
           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
           Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
           Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
           Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
           Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
           Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
           Preprocessor Object: SF_POP  Version 1.0  <Build 1>
           Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>
           Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
           Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
           Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
           Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
Commencing packet processing (pid=16400)

Но больше ничего не появляется. В настоящее время в файле local.rules у меня есть следующие правила:

alert icmp any any -> any any (msg:"Testing ICMP alert"; sid:1000001;)
alert udp any any -> any any (msg:"Testing UDP alert"; sid:1000002;)
alert tcp any any -> any any (msg:"Testing TCP alert"; sid:1000003;)

Я также сейчас использую Windows 10, которая не помогла, потому что многие люди, которые задавали вопросы, похожие на эту, использовали виртуальную машину. Был бы признателен за некоторую помощь.

0

snort ids

Источник

user12106788 14 май '20 в 15:51

1 ответ

Другие вопросы по тегам snort ids

user15185395 10 фев '21 в 17:54 2021-02-10 17:54 · Answer 1 · 2021-02-10 17:54

Я думаю, вы пытаетесь выполнить команду, подобную этой:

      snort –i3 -c c:\Snort\etc\snort.conf -A console

Где «3» — это номер интерфейса, который вы обнюхиваете. Попробуйте изменить номер интерфейса, который вы обнюхиваете, в своей команде, пока не получите что-то взамен.

Вы можете увидеть, сколько интерфейсов у вас есть, набрав:

      snort -W