Preguntas sobre snort generando demasiados eventos y no enviando a syslog

2

Nuevo para snort aquí. Descargué snort (2.9.6.0 GRE Build 47) en mi Ubuntu 14.04, también descargué las reglas de amenazas emergentes.

Ejecuté el siguiente comando

root@myhp:~/pkgs/emergeThreats/snortRules# snort -vi tap0  -A fast -s -y -c emerging.conf

y obtuve lo siguiente cuando reproduje un pcap con una sesión HTTP maliciosa

Commencing packet processing (pid=8379)
07/05/16-10:07:27.349104 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24197 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75  Ack: 0x0  Win: 0x7210  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094521840 0 NOP WS: 7 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:27.358086 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x79E2AA84  Ack: 0xAFF057C3  Win: 0xFFFF  TcpLen: 24
TCP Options (1) => MSS: 1460 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:27.358190 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:27976 IpLen:20 DgmLen:40 DF
*****R** Seq: 0xAFF057C3  Ack: 0x0  Win: 0x0  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.346259 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24198 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75  Ack: 0x0  Win: 0x7210  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094522090 0 NOP WS: 7 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.354186 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x7545E146  Ack: 0x3E9E4D76  Win: 0xFFFF  TcpLen: 24
TCP Options (1) => MSS: 1460 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.354454 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24199 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x3E9E4D76  Ack: 0x7545E147  Win: 0x7210  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.355903 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24200 IpLen:20 DgmLen:79 DF
***AP*** Seq: 0x3E9E4D76  Ack: 0x7545E147  Win: 0x7210  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.366111 192.168.3.1:80 -> 192.168.1.11:16958

Los problemas que tengo:

  • ¿Por qué los eventos para cada paquete TCP aparecen aquí? ¿Cómo lo inhabilito? Solo necesito ver el evento para coincidencias de malware real
  • ¿por qué los eventos no se envían al servidor de syslog? Tengo una interfaz de "lo" de monitoreo de wirehark para paquetes udp al puerto 514 pero no veo ninguno.

Aquí está el enlace de emerge.conf: enlace

¿Alguna idea? Gracias.

    
pregunta packetie 05.07.2016 - 17:20
fuente

1 respuesta

1

Los eventos detallados (sobre cada paquete) resultaron debido a la opción "-v". Después de sacarlo, no los veo.

La alerta se muestra en un archivo "alerta" en el directorio predeterminado / var / log / snort. Uno puede cambiarlo por la opción de línea de comando -l <new directory> .

No sé por qué snort no está enviando el registro del sistema utilizando el socket UDP. El comando "strace" me mostró que en realidad está usando un socket UNIX. Especificar el destino en el archivo de configuración (emerge.conf) output alert_syslog: host=192.168.181.1:514, LOG_AUTH LOG_ALERT no ayudó. Tuve que poner una solución alternativa mediante el uso de un script que escucha en el socket de Unix y lo envía mediante el socket UDP.

    
respondido por el packetie 06.07.2016 - 06:15
fuente

Lea otras preguntas en las etiquetas