我已经订阅了 Snort VRT 并收到了最新的规则集 (snortrules-snapshot-2956.tar.gz),我使用以下方式从源代码安装了 snort (http://www.snort.org/assets/158/snortinstallguide293.pdf) Ubuntu 12.04 LTS 指南。
我发现了鼾声不报警样本恶意请求,即 DT 到 ../../../etc/passwd、curl www.testmyids.com、使用 VRT 规则集进行端口扫描。因此,我添加了 ETOpen 规则集,它开始警醒对于上述请求(curl www.testmyids.com、local.rules 中的示例 ping、DNS 攻击):
04/03-11:32:47.780946 [**] [1:2100498:8] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} X.X.X.X:80 -> Y.Y.Y.Y:44591
04/03-11:47:28.034106 [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} X.X.X.X -> Y.Y.Y.Y
04/03-12:01:12.771472 [**] [1:2016016:6] ET CURRENT_EVENTS DNS Amplification Attack Inbound [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} X.X.X.X:39613 -> Y.Y.Y.Y:53
这是我第一次使用 VRT(我以前用过 ET,效果很好),
- 这是一个正常行为不对上述事件发出警报?
- 如果没有,那么任何配置我需要设置VRT 工作? 这是我的snort配置文件
答案1
警报取决于加载的规则(集);VRT 与 ET 不同,并且采用不同的规则;但它们共享一组通用的开放 vrt 规则
因此,当加载的一组规则集发出警报,而另一组没有时,您应该调整规则集。
如果您有其他问题,我建议您参考 snort 邮件列表,因为这是一个配置/了解其工作原理的问题 :)