snort ignora los paquetes con la dirección IP de src / dest coincidente

2

Esta es mi regla:

alert udp 192.168.1.1 4000 -> 192.168.1.1 7000 (msg:"This rule doesn't work"; sid:1234567;)

Estoy ejecutando snort contra un archivo de paquete precapturado donde hay paquetes UDP que coinciden con la regla dada anteriormente. Sin embargo, snort los ignora y en realidad no ingresan en el archivo de resultados. ¿Por qué snort ignora esos paquetes y cómo puedo forzar a snort a reconocer esos paquetes? Ya que coinciden con la regla (arriba) en mi archivo de reglas, creo que aparecerían.

    
pregunta KyleM 24.03.2013 - 23:57
fuente

1 respuesta

1

Preámbulo : Primero quería agregar un comentario, ya que aún no está claro qué podría estar causando tu problema por la información que me proporcionas, pero me quedé sin espacio reservado para los comentarios. , así que aquí va mi sugerencia (no hay garantías de que sea así):

El tipo de archivo de captura por el que está intentando ejecutar las reglas de Snort es poco claro, tanto por su pregunta como por sus comentarios posteriores. Sin embargo, es posible que esté ejecutando su reproducción en un solo modo de captura de paquetes, pero desde un archivo con muchos pcaps . Eso es lo que implica la bandera -r (es lo mismo que usar -pcap-single=<file> ) y su comentario de que funciona en alguna regla y no en la otra sugiere que este también podría ser el caso (si en un caso la primera captura de paquetes coincidiría con sus reglas , mientras que en otra, el pcap que coincidiría con sus reglas podría no ser el primero en la lista de muchos). Para hacer que la reproducción de Snort procese múltiples pcaps desde un solo archivo de captura, use -pcap-file=<file> en su lugar.

Para estar seguro de que este es el caso, puedes probarlo con un indicador -pcap-no-filter y ver si se itera a través de todos ellos en la salida. Otros argumentos de la línea de comando relevantes para su caso de uso son aquí listados .

Alternativamente, puedes cambiar tu regla para que coincida con todos los paquetes y ver cuántos resultados arroja:

alert udp any any -> any any (msg:"This should match all UDP packets in an input file";)

Aparte de esto, no veo ningún problema con su regla de snort que dio en el ejemplo, y sigue a Snort forma correcta correctamente.

    
respondido por el TildalWave 09.04.2013 - 05:55
fuente

Lea otras preguntas en las etiquetas