我已经安装了 snort,并通过 NFQUEUE 在本地网关(因为我可以走进隔壁房间并触摸它)上以内联模式运行。我的 中有以下规则/etc/snort/rules/snort.rules:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;)
此规则与某些 DLink 路由器中发现的后门有关。我之所以选择此规则,是因为它看起来很容易测试。规则本身是由 emergingthreats 的 drewpork 添加的,因此我推测规则语法是正确的。
为了进行测试,我已在面向互联网的端口 80 上为网关配置了 lighttpd,并确认该网关可以访问。然后,在远程计算机上,我运行了命令curl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。这会立即将 lighttpd 的响应打印到控制台并退出。网关上没有生成任何 snort 警报。
此外,netfilter 似乎只使用了我正在运行的四个 snort 进程中的两个。我可以看到这一点,htop因为在使用 bittorrent 进行测试时,CPU 1 和 2 上的 snort 进程负载很重……但 CPU 0 和 3 上的 snort 进程仍然完全空闲。
我的测试方法错了吗?还是 snort 没有在应该发出警报时发出警报(即由于配置错误)?我应该在哪里查看 netfilter 为何没有平衡所有四个队列之间的流量?
配置
我的 netfilter 链的具体相关部分是:
Chain wan-fw (1 references)
pkts bytes target prot opt in out source destination
25766 2960K smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW,UNTRACKED
4 1380 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:67:68
4267 246K tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
3820 550K ~comb0 all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED <<=== this one for established connections ====!
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED
937 79669 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02
13 506 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 /* Ping */
4 240 ~log0 tcp -- * * <remote_server> 0.0.0.0/0 tcp dpt:80 /* Tiphares Allowed In */ <<=== this one for new connections ====!
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type ANYCAST
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
21506 2454K NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: up to 1/sec burst 10 mode srcip nflog-prefix "IPv4 wan-fw REJECT " nflog-threshold 1
24808 2878K reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]
Chain ~log0 (1 references)
pkts bytes target prot opt in out source destination
4 240 NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: up to 1/sec burst 10 mode srcip /* Tiphares Allowed In */ nflog-prefix "IPv4 HTTPTest NFQUEUE " nflog-group 1 nflog-threshold 1
4 240 NFQUEUE all -- * * 0.0.0.0/0 0.0.0.0/0 /* Tiphares Allowed In */ NFQUEUE balance 0:3 bypass cpu-fanout <<=== passes packets to one of 4 snort processes ====!
Chain ~comb0 (4 references)
pkts bytes target prot opt in out source destination
474K 196M NFQUEUE all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED NFQUEUE balance 0:3 bypass cpu-fanout <<=== all established connections from 'wan' are monitored by snort ====!
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
另外还有一点:
我不确定这是否相关。我发现我的网关上似乎有东西向互联网上的 IP 发送 TCP 重置数据包。这些数据包与现有连接无关。
鉴于这种情况发生在该网关后面的机器上使用 bittorrent 时,并且大多数重置数据包将 torrent 端口列为源端口,所以对我来说唯一有意义的事情是,这是 snort 在阻止某些东西时发送重置(是吗?)。
但是我使用 nfqueue daq... 那么,如果是 snort,那么为什么 snort 会以 netfilter 视为新连接的方式发送这些数据包,而不是将数据包直接插入 netfilter 链并将它们与它正在阻止的现有连接相关联?而且,snort 未设置为丢弃数据包或发送重置(仅发送警报)... 那么为什么它一开始会这样做呢?因此我不确定这是 snort 正在做的事情。
其他信息
根据 @Lenniey 的建议,我也用 进行了测试curl -A 'asafaweb.com' http://server-ip。这也没有产生警报。我仔细检查了我的规则文件中是否存在此规则。有两个:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET POLICY ASafaWeb Scan User-Agent (asafaweb.com)"; flow:established,to_server; content:"User-Agent|3a| asafaweb.com|0d 0a|"; http_header; reference:url,asafaweb.com; classtype:network-scan; sid:2014233; rev:2; metadata:created_at 2012_02_16, updated_at 2012_02_16;)
和
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"MALWARE-CNC User-Agent ASafaWeb Scan"; flow:to_server,established; content:"User-Agent|3A| asafaweb.com"; fast_pattern:only; http_header; metadata:policy balanced-ips alert, policy security-ips drop, ruleset community, service http; reference:url,asafaweb.com; classtype:network-scan; sid:21327; rev:7;)
我还更新了我的配置。显然,我上传的配置是旧的(http netfilter 规则显示 ACCEPT 而不是 NFQUEUE)。
答案1
在调试了几乎所有内容(iptables + NFQUEUE、systemd.service 和 drop-in 单元、snort 警报等)之后,问题源于测试的方式。
通常,snort 作为内联 IDS/IPS 本身并不被定义为检查可疑流量,而只是检查 HOME_NET(又称本地 LAN 子网),而不是检查其自己的公共 IP。原始规则针对该公共 IP 进行了测试,因此没有生成任何警报,因为警报的默认设置大致如下EXTERNAL_NET any -> HOME_NET any。