Vagrant Snort不'；无法检测除ping之外的规则_Vagrant_Local_Rules_Snort

Vagrant Snort不'；无法检测除ping之外的规则

vagrant

Vagrant Snort不'；无法检测除ping之外的规则,vagrant,local,rules,snort,Vagrant,Local,Rules,Snort,嗨，我对Snort配置有问题我用流浪主机建立了一个虚拟网络，其中一个主机运行Snort（使用Barnyard2），Snort主机处于混杂模式，因此我可以读取192.168.10.*/24中的所有数据包。 PING一切正常，我在/etc/snort/rules/local.rules中有一条规则： alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;) 这个规则映射正确，我可以看到任何主机

嗨，我对Snort配置有问题

我用流浪主机建立了一个虚拟网络，其中一个主机运行Snort（使用Barnyard2），Snort主机处于混杂模式，因此我可以读取192.168.10.*/24中的所有数据包。 PING一切正常，我在/etc/snort/rules/local.rules中有一条规则：

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

这个规则映射正确，我可以看到任何主机之间的每个PING，barnyard2读取输出并将其存储在DB中

问题是，当我尝试添加另一个规则时，我尝试记录SSH和NMAP，例如：

alert tcp any any -> any any (sid:1000005; gid:1; flow:stateless; ack:0; flags:S; ttl:>220; priority:1; msg:"nmap scan"; classtype:network-scan; rev:1;)
alert tcp any any -> $HOME_NET 22 (msg:"Potential SSH Brute Force Attack"; flow:to_server; flags:S; threshold:type threshold, track by_src, count 3, seconds 60; classtype:attempted-dos; sid:2001219; rev:4; resp:rst_all; )

我看不到有这两条规则的任何警报或日志记录

我还使用PulledWork来更新规则，并尝试检查它们是否有效，但显然什么也没发生

配置文件/etc/snort/snort.conf似乎配置正确（无注释）：

规则文件似乎位于正确的位置：

vagrant@vagrant-ubuntu-trusty-64:~$ tree /etc/snort/rules/
/etc/snort/rules/
├── black_list.rules
├── iplists
│   └── default.blacklist
├── iplistsIPRVersion.dat
├── local.rules
├── snort.rules
├── test.rules
└── white_list.rules

我还尝试清空snort.rules，只保留local.rules，以了解它是否由于硬件限制而无法工作，但没有任何更改

我不知道这是否是因为： -配置错误 -错误规则 -错误攻击 -硬件要求

你能帮我吗？：）

要做的第一件事是检查snort所监听的接口和端口是否存在除Ping之外的任何其他内容

为此，我建议您安装工具ngrep，例如检查HTTP请求。要做到这一点，请通过“ngrep-ed<interface>”^GET.*”调用它，或者在您不期望HTTP流量的情况下，查找其他有意义的内容

vagrant@vagrant-ubuntu-trusty-64:~$ tree /etc/snort/rules/
/etc/snort/rules/
├── black_list.rules
├── iplists
│   └── default.blacklist
├── iplistsIPRVersion.dat
├── local.rules
├── snort.rules
├── test.rules
└── white_list.rules