在为 Snort(实际上是 BT5..)启动虚拟机并启动 snort 后,我得到了许多这样的信息:
SNMP Public Access udp [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 192.168.1.50.61097 -> 192.168.1.47:161"
其中 .50 地址是服务器,.47 地址是 BT5 盒。
我猜这是因为 Snort 盒使用虚拟网络适配器在 Hyper-V 上作为 VM 运行,并且它与 VM 和虚拟机管理程序使用的流量有关。遗憾的是,这不是具有酷炫新端口镜像功能的 Server 2012,而是 Server 2008R2。
我不是 Snort 规则方面的专家,到目前为止,我找不到任何关于如何创建 Snort 规则的像样的答案。忽略这两个端点之间的 UDP 流量。
你能帮我吗?
答案1
给配置虚拟网络a 读取,即以下内容:
当您希望为虚拟机提供物理网络访问权限以便与外部服务器和客户端进行通信时,请使用此类型。此类型的虚拟网络还允许同一虚拟化服务器上的虚拟机相互通信。这种类型的网络可能也可供管理操作系统使用,具体取决于您如何配置网络。
当您说“.50 地址是服务器”时,我假设您指的是 Hyper-V 服务器。Hyper-V 服务器很可能配置了专用的外部 NIC,或者已连接到 BackTrack 安装所使用的同一外部虚拟交换机的 NIC 已被选为管理流量(已选择“允许管理流量共享网络适配器”)。
无论哪种情况是在您的客户机上看到来自该 Hyper-V 服务器上父分区的流量。这可能是正常的,并且是设计使然。
我使用 Snort 已经有一段时间了,但你应该能够用下面的方法忽略所有的 TCP 和 UPD 流量:
pass tcp 192.168.1.50 any -> any any;
pass udp 192.168.1.50 any -> any any;