Questão Snort 2.9.6 não alerta com o conjunto de regras do VRT, mas com o ETOpen


Eu me inscrevi para o Snort VRT e recebi o último conjunto de regras (snortrules-snapshot-2956.tar.gz), instalei snort da fonte usando (http://www.snort.org/assets/158/snortinstallguide293.pdf) guia para o Ubuntu 12.04 LTS.

Eu encontrei snort não alerta em exemplos de solicitações maliciosas, por exemplo, DT para ../../../etc/passwd, curl www.testmyids.com, portscan usando o conjunto de regras do VRT. Então eu adicionei o conjunto de regras ETOpen e começou a alertar nos pedidos acima (curl www.testmyids.com, ping de amostra em local.rules, ataque de DNS):

04/03-11:32:47.780946  [**] [1:2100498:8] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} X.X.X.X:80 -> Y.Y.Y.Y:44591
04/03-11:47:28.034106  [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} X.X.X.X -> Y.Y.Y.Y
04/03-12:01:12.771472  [**] [1:2016016:6] ET CURRENT_EVENTS DNS Amplification Attack Inbound [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} X.X.X.X:39613 -> Y.Y.Y.Y:53

Como é a primeira vez que estou usando o VRT (eu usei o ET antes e trabalhei muito bem),

  • isso é um comportamento normal não alertar sobre os eventos acima?
  • se não, existe qualquer configuração Eu preciso definir para VRT para trabalhar? aqui está o meu snort.conf

1


origem




Respostas:


o alerta depende da regra (conjuntos) carregada; O VRT é diferente do ET e está enviando regras diferentes; eles compartilham um conjunto comum de regras vrt abertas embora

Assim, quando um conjunto de regras carregado está em alerta, e o outro não, você deve ajustar seu conjunto de regras.

para mais perguntas eu gostaria de direcioná-lo para a snort-mailing-list, porque este é um problema de configuração / compreensão-como-funciona-:)


0



Obrigado pelo ponteiro na lista de discussão, eu copiei a pergunta por lá. O VRT por si só não alertou sobre qualquer solicitação de amostra que eu gerasse manualmente mesmo agora, quando o host está voltado para o público (há uma grande quantidade de tentativas). Depois que eu adicionei o ET, o ET começou a pegar os eventos. Se, como você disse, o VRT não tem ou não tem o ET, então isso é falso-negativo!