嗨,我正在尝试使用 snort 作为 IDS 来检测我拥有的一些 pcap 文件,我希望能够获得任何入侵的日志。我知道 pcap 文件中确实有端口扫描和 ping 扫描等,但是当我尝试以下命令时:
C:\Snort\bin> snort -r c:\snort\log\trace_part01.pcap -l c:\snort\log -c c:\snort\etc\snort.conf -K ascii
什么也没有发生,我可以像这样记录数据:
snort -r c:\snort\log\trace_part01.pcap -l c:\snort\log -K ascii
它构造相关 IP 文件夹中的所有文件,并且它们都以 .ids 作为扩展名。
我是 snort 的新手,所以不太清楚如何才能检测出 pcap 文件中的入侵并将它们输出到文件中。
答案1
我怀疑问题出在你的 snort.conf 文件中。
您是否收到以下行
include $PREPROC_RULE_PATH/preprocessor.rules
取消注释?如果没有,请取消注释该规则以启用它,然后再次尝试强制 Snort 重新读取配置文件。
您可能还需要确保以下线路snort.conf
设置为高,但我不能 100% 确定是否有必要 -
preprocessor sfportscan: proto { all } memcap { 1000000 } sense_level { high } scan_type { all }