Snort: No se puede decodificar el tipo de enlace de datos 127 leyendo un archivo pcapng

0

Hace algunos días capturé mi wifi y ahora quiero que snort analice la captura para detectar cualquier problema. Sin embargo, cuando ejecuto snort -l ./snort-log -b -c /etc/snort/snort.conf -r captura-analisar.pcapng , se detiene con

  

ERROR: No se puede decodificar el tipo de enlace de datos 127

     

Error fatal, al salir ..

Supongo que esto está ocurriendo porque hay algunos datos cifrados de 802.11 en el archivo. Sin embargo, no todos los paquetes están encriptados. Si es así, ¿cómo configurar snort para ignorar los datos cifrados y analizar solo los descifrados? O si no es el caso, ¿cuál es el problema?

    
pregunta Fabiotk 27.08.2017 - 05:54
fuente

1 respuesta

1

por lo que describiste, entendí:

  • Ya tiene archivos PCAP para analizar con Snort (por lo que no está ejecutando en modo en vivo, sino que está leyendo capturas creadas previamente). Por lo tanto, el cambio -i no se aplica en este caso.
  • Snort aborta con el mensaje: ERROR: Cannot decode data link type 127
  • Cuando menciona "detectar cualquier problema", asumo que está buscando específicamente una comunicación de malware (y no problemas de red de investigación, por ejemplo, ¡problemas de nivel 2 con su Wifi!).

Primero, debe eliminar la encapsulación del enlace de radiotaprescribiendo el tipo de enlace de capa 2 en algo con lo que Snort puede lidiar fácilmente, por ejemplo. tipo de enlace ether

Para eso puedes usar la herramienta editcap del proyecto Wireshark.

editcap captura-analisar.pcapng -T ether captura-1.pcap , donde:

  • -T ether : establece el tipo de encapsulación del archivo de salida en ether .

Por cierto, si su versión de Snort no lee archivos PCAPNG, también puede convertirlo con editcap agregando el parámetro -F pcap

editcap captura-analisar.pcapng -F pcap -T ether captura-1.pcap

De ahora en adelante, puede ejecutar snort sobre los archivos de su PCAP con un comando como:

snort -A console -k none -K none -c snort.conf -r captura-1.pcap

donde:

  • -A : emite alertas a la consola
  • -K : modo de registro, none no creará PCAP a partir de las alertas, mientras que pcap lo hará. Utilizar en consecuencia.
  • -k : modo de suma de comprobación, ignorar la validación de suma de comprobación.
  • -c : su archivo de configuración de snort que contiene variables, opciones de proceso previo, reglas.
  • -r : lee PCAP. tenga en cuenta otras opciones para leer un montón de archivos pcap, como --pcap-dir=/home/foo/pcaps o --pcap-list="foo1.pcap foo2.pcap foo3.pcap"

¿Tiene sentido?

Saludos cordiales J.C.

  • editcap es parte de Wireshark, consulte: enlace

PS: puede inspeccionar las propiedades de los archivos PCAP con capinfos -M captura.pcap . Esto muestra información sobre la encapsulación, la cantidad de paquetes capturados, la fecha de inicio / finalización de la captura, la duración, etc.

    
respondido por el J. C. Macharoni 12.10.2018 - 16:49
fuente

Lea otras preguntas en las etiquetas