Snort (IDS) 不显示端口扫描

信息安全 身份证 打喷嚏
2021-08-20 03:27:27

我已经按此说明安装了 Snort 和酸碱,并通过此本地地址访问它

127.0.0.1/acidbase/base_main.php

问题是通过此命令使用nmap扫描后

sudo nmap -p1-65535 -sV -sS -O [Snort 安装的 IP 地址]

由网络中的另一台计算机具有 ping 连接,它在 Portscan Traffic 中没有显示任何内容,并且始终为 0% 。我确信配置没问题,因为它会记录其他所有内容,并且警报会显示在警报缓存中。

知道为什么 Snort 不显示端口扫描活动吗?

编辑:

我取消注释“预处理器 sfportscan”,重新启动 snort 服务,使用 nmap 进行端口扫描,结果:没有。

预处理器 sfportscan: proto { all } memcap { 10000000 } sense_level { high }

我在“ipvar HOME_NET”中输入了我的确切 IP 地址,重新启动 snort 服务,用另一台电脑进行端口扫描,结果:没有。

该行包括

$PREPROC_RULE_PATH/preprocessor.rules

已注释,因此该路径中没有 preprocessor.rules 文件。

2个回答

需要知道您的 snort.conf 和其他 Snort 设置才能回答这个问题。我仍然会尝试用你提供的任何有限的信息来回答。

很可能,前辈的阈值设置portscansfportscan好像我没记错一样)在您的 snort.conf 中设置为某个更高(默认)的值,并且您所做的端口扫描无法超过这些阈值。另一个原因可能是您的$HOME_NET变量被定义为您正在扫描的 IP 不在您的内部HOME_NET,因此 Snort 不关心对其进行的扫描。也可能有其他原因,例如您用于扫描的 IP 以及目标 IP,两者都是您HOME_NET的 .

您需要取消注释这些行,即制作它

包括 $PREPROC_RULE_PATH/preprocessor.rules

仅启用 sfportscan 并不能解决所有问题,一旦检测到 portscan,您仍然必须启用规则和操作。

其它你可能感兴趣的问题
上一篇测量 SNR 以检测 Wi-Fi 网络中的干扰器 下一篇为移动应用程序引入客户端证书会提高安全性吗?