Nuevo para snort aquí. Descargué snort (2.9.6.0 GRE Build 47) en mi Ubuntu 14.04, también descargué las reglas de amenazas emergentes.
Ejecuté el siguiente comando
root@myhp:~/pkgs/emergeThreats/snortRules# snort -vi tap0 -A fast -s -y -c emerging.conf
y obtuve lo siguiente cuando reproduje un pcap con una sesión HTTP maliciosa
Commencing packet processing (pid=8379)
07/05/16-10:07:27.349104 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24197 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75 Ack: 0x0 Win: 0x7210 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094521840 0 NOP WS: 7
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:27.358086 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x79E2AA84 Ack: 0xAFF057C3 Win: 0xFFFF TcpLen: 24
TCP Options (1) => MSS: 1460
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:27.358190 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:27976 IpLen:20 DgmLen:40 DF
*****R** Seq: 0xAFF057C3 Ack: 0x0 Win: 0x0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.346259 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24198 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75 Ack: 0x0 Win: 0x7210 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094522090 0 NOP WS: 7
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.354186 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x7545E146 Ack: 0x3E9E4D76 Win: 0xFFFF TcpLen: 24
TCP Options (1) => MSS: 1460
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.354454 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24199 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x3E9E4D76 Ack: 0x7545E147 Win: 0x7210 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.355903 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24200 IpLen:20 DgmLen:79 DF
***AP*** Seq: 0x3E9E4D76 Ack: 0x7545E147 Win: 0x7210 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.366111 192.168.3.1:80 -> 192.168.1.11:16958
Los problemas que tengo:
- ¿Por qué los eventos para cada paquete TCP aparecen aquí? ¿Cómo lo inhabilito? Solo necesito ver el evento para coincidencias de malware real
- ¿por qué los eventos no se envían al servidor de syslog? Tengo una interfaz de "lo" de monitoreo de wirehark para paquetes udp al puerto 514 pero no veo ninguno.
Aquí está el enlace de emerge.conf: enlace
¿Alguna idea? Gracias.