我正在尝试在虚拟机上为我的实验室设置 Snort IDS。我的问题是,通常,这些类型的 IDS 连接到交换机的镜像端口。我的实验室没有这样的设备。这是我的拓扑: [Internet]->[Linux Firewall+NAT]->[Local Subnets] 我想将我的 Snort VM(连接到我的 192.168.0.0/24 子网)连接到我的 Linux 防火墙,有没有办法使用 IPTABLES 或类似的东西来实现这一点? (这可能行不通,因为我们想监听传输层帧……) 或者是否可以在我的防火墙上收集数据并让我的 Snort VM ...
我已经配置了带有端口 SPAN 的 Cisco 3500 交换机,并将我的 snort 节点 (fedora 13) 插入其中。我正在将 snort 作为守护进程运行,并配置了一条规则来记录所有 tcp 流量,但我只看到以 snort 节点为目标的流量。我知道 SPAN 端口正在工作,想知道是否有一个特定的选项需要我启动 snort 才能让它拾取所有流量?或者我在这里遗漏了什么? 非常感谢。 ...
警报 tcp any any -> any 80 (msg:“检测到 HTTP 文件下载”;flow:to_server,established;content:“GET”;http_method;content:“.exe”;http_uri;sid:1000001;) 在 wireshark 上它看起来像这样:GET /reverse.exe HTTP/1.1 然而似乎无法在 snort 上得到警报 ...
规则是 alert tcp any any <> any any (sid:11111;content:"GET";) 一个名为http.pcap的文件,其中包含内容 GET /s?wd=%E7%99%BE%E5%BA%A6 HTTP/1.0 一个名为 1.conf 的配置文件 include /home/zhzhy/tmp/my.rules 然后我跑过去,哼了一声 sudo snort -c /home/zhzhy/tmp/1.conf -r pcap/http.pcap 结果是 Action Stats: Alerts: ...
我正在尝试设置助手我在我的 ubuntu 服务器上安装了 IDS,我按照官方的安装指南进行操作,但是当我尝试使用命令“更新助手配置文件“生成新配置时出现错误 $ update-aide.conf: command not found 我尝试使用以下方法在系统中搜索文件寻找但什么也没找到: $ sudo find / -name "update-aide.conf" $ 我尝试多次重新安装助手,但仍然出现同样的错误。 系统:Ubuntu 22.04 LTS 服务器 - 1GB 内存 ...
我有一个包含大量无效电子邮件的数据库。 我想删除所有域名没有 mx 记录的电子邮件。 因此,在我提取了域部分之后,我编写了一个脚本来批量检查不同的域,通过在dig [domainName] mx +short每个域之间执行以毫秒为单位的睡眠时间。 对于约 5000 个域,执行该命令的可接受速率是多少,而不会被我的 ISP 视为对网络的威胁?这意味着我应该将睡眠时间设置为多少才能保持安全。 ...
我的IDS设置如下: 硬件/接口 WAN <----(brwan)> ROUTER / AP <(br0)----> LAN \ -----(eth1)> | \ | IDS device listening on eth1 ...
我正在做一个项目,如果数据包的目的地是 LAN 网络上的多个 IP 之一,则验证每个数据包的来源。我对 LAN IP 感兴趣,而不是 WAN。 我尝试创建许多类似以下的匹配,但没有任何效果。 iptables -t nat -d <list of IPs> -A FORWARD -j NFQUEUE --queue-num 1 我使用以下规则在我的树莓派中启用路由 sudo iptables -F sudo iptables -t nat -F sudo iptables -t nat -A POSTROUTING -o $eth -j M...
我正在为特定漏洞编写 snort 规则,然后遇到了一个解决方案,其详细信息为“uid=0(root)”。有人能解释一下这是什么以及为什么要提到它,以便捕获其中包含 root 内容的数据包吗? ...
不久前,我将网络设置从默认 ISP 设备更改为 Ubiquiti EdgeRouter (ER-X-SFP)。目前我计划切换到静态 IPv4 地址。我还将从 ISP 获得 IPv6 前缀。 除了内置防火墙之外,我还想使用 IDS/IPS 系统来更好地保护我的网络。总的来说,我对 IDS/IDS 系统还很陌生,我试图找到一种解决方案来使用 EdgeRouter,而不是购买额外的设备。 我找不到关于这个主题的太多信息,除了由于 EdgeRouter 的 DRAM 有限(就 Suricata 而言)导致它无法工作之外。 我发现两个 IDS/IPS 系统,在我看来,...
我正在管理一个相对简单的 AWS 堆栈,其中包含大约 5 个异构 Linux EC2 实例。所有实例都已设置为将重要日志发送到 Cloudwatch Logs。现在我想为这个系统设置一个覆盖所有节点的基本 HIDS。替代方案一是专用的 HIDS/SEIM,如 OSSEC、Prelude 等。替代方案二是安装 auditd,将 auditd 日志像其他日志一样发送到 AWS,并在日志到达 Cloudwatch 后根据日志解析执行某种 IDS。这需要更少的额外移动部件,并且设置工作/时间要少得多。问题是 auditd 日志的解析和解释相当具有挑战性。所以我的问题...
我们经营一家小型 VPS 托管公司,每个 vps 都基于固定的 18.04 模板。 我们运行蜜罐(一种闲置服务器)来验证模板是否仍然安全。我们大概每个月查看一次,看看发生了什么变化,是否有任何形式的入侵。这实际上是一种懒惰的“抓捕”方法。不是最好的。 我想安装一个绊网,任何活动或变化(我会说可疑的活动/变化,但由于服务器处于休战状态,任何不符合常态的变化/活动都是可疑的)都会触发电子邮件警报。 有没有轻量级的开源软件包(我不需要每月报告,或者说取证)可以在 Ubuntu 18.04 下运行并执行此类操作?有人自己制作过吗? ...
我目前遇到一个问题,我们正尝试将网络流量从物理基础设施发送到虚拟 Alienvualt 设备,但我们的交换机无法发送 RSPAN 流量。 Nexus 9k 支持 SPAN 和 ERSPAN。Alienvault 支持 SPAN 和 RSPAN。由于 Alienvault 和交换机之间有多个跳数,因此 SPAN 不是一种选择。 是否可以在另一台主机上捕获 ERSPAN 流量、解调,然后继续作为 RSPAN 转发? 还有其他有创意的选择可以解决这个难题吗? ...
不幸的是,自 2017 年以来,Snort 一直没有发布规则更新 2.8.6。所有客户都应该升级到 2.9。但 2.9 是 X64,而我的操作系统是 Fedora X86。我需要更新我的 Snort 2.8.6 签名。是否有任何来源可以获得更新或任何将 2.9 规则转换为 2.8.6 的解决方案? ...
我用苏里卡塔4.0.5(一个开源 IDPS)在 Windows Server 2012 上。当我运行它时,它会引发以下错误,但是,它可以运行。 Error opening file threshold.config 我搜索了此错误并找到了以下链接: 由于缺少文件,Suricata 无法启动 Suricata 错误:打开文件threshold.config 时出错 根据这些链接,我了解我必须threshold.config手动创建一个空的。 问题: 这个文件是什么threshold.config? 为什么我要手动创建它? ...