我一直在尝试让 snort IDS 工作,但遇到了一些困难。当我运行 snort -c /etc/snort/snort.conf -l /var/log/snort 时,我总是收到此错误。
初始化规则链...警告:/etc/snort/rules/dos.rules(42) => 阈值(在规则中)已弃用;请改用 detection_filter。错误:/etc/snort/rules/community-virus.rules(19) => !any 不允许
任何帮助将不胜感激。
答案1
警告:/etc/snort/rules/dos.rules(42) => 阈值(在规则中)已被弃用
只是一个警告。它应该仍然有效,但将来这条规则可能会停止按规定工作。
错误:/etc/snort/rules/community-virus.rules(19) => !any 不允许
您有规则使用被否定的变量。在全新安装中,当您未能在 snort.conf 中设置 $HOME_NET 的范围时,通常会看到这种情况。默认情况下,它设置为:
ipvar HOME_NET any
因此,如果规则使用!$HOME_NET,(许多 VRT 规则都使用 )snort 会抛出错误。解决方法可以很简单,只需为您的家庭网络设置子网即可。例如:
ipvar HOME_NET 192.168.1.1/24
答案2
您能从规则文件中粘贴以下几行吗?看来第 42 行和第 19 行(分别)存在问题。
dos.rules 中的第 30-50 行
community-virus.rules 中的第 10-30 行