我试图在有人建立与 PORT 25 (tcp) 的连接时发出警报,无论来源或目的地是什么。为此,我想出了这个简单的规则:
alert tcp any any -> any 25 (msg:"Email sent"; sid:10001337007;)
从 Windows 客户端,我尝试扫描运行 SNORT 的服务器上的开放端口,并按预期引发以下警报:
Jan 19 23:23:52 HSOC01 snort[7678]: [1:1411402415:0] Email sent {TCP} 192.168.0.134:50848 -> 192.168.0.26:25
但是,当扫描开放端口(从同一个 Windows 客户端)到域控制器时,不会发出任何警报。
此外,打开与端口 25 上的邮件服务器的连接不会触发任何操作。
有人能解释一下发生了什么事吗?
答案1
除非 Snort 处于在线状态或正在接收来自 span/tap 的流量,否则它将看不到非 Snort 盒的流量。如果这没有帮助,请告诉我们您的网络拓扑和 Snort 所在的位置。