snort analysis of wireshark capture

Navegue suas respostas
7

Estou tentando identificar usuários problemáticos em nossa rede. O ntop identifica usuários de alto tráfego e alta conexão, mas o malware nem sempre precisa de alta largura de banda para realmente atrapalhar as coisas. Então, estou tentando fazer uma análise off-line com o snort (não quero sobrecarregar o roteador com a análise inline do tráfego de 20 Mbps). Aparentemente, o snort fornece uma opção -r para essa finalidade, mas não consigo executar a análise.

O sistema de análise é gentoo, amd64, caso isso faça alguma diferença. Eu já usei o oinkmaster para baixar as últimas assinaturas do IDS. Mas quando eu tento fugir, continuo recebendo o seguinte erro: 

% snort -V

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2010 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.11 2010-12-10
           Using ZLIB version: 1.2.5

%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/

(recorte) 

273 out of 1024 flowbits in use.

[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 314
|     1 byte states : 304
|     2 byte states : 10
|     4 byte states : 0
| Characters        : 69371
| States            : 58631
| Transitions       : 3471623
| State Density     : 23.1%
| Patterns          : 3020
| Match States      : 2934
| Memory (MB)       : 29.66
|   Patterns        : 0.36
|   Match Lists     : 0.77
|   DFA
|     1 byte states : 1.37
|     2 byte states : 26.59
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

net-libs / daq está instalado, mas eu nem quero capturar o tráfego, eu só quero processar o arquivo de captura.

Quais opções de configuração devo configurar / desativar para fazer a análise off-line em vez da captura em tempo real?

    
por Ben Voigt 22.01.2011 / 21:07

3 respostas

1

Eu não estou familiarizado com o Gentoo especificamente, mas você poderia tentar usar o sinalizador "--daq-list" para ver quais (se algum) módulo DAQ o Snort vê.

por exemplo: 

# snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv

Em seguida, use o sinalizador "--daq-dir" para apontar o Snort para o diretório que contém as bibliotecas DAQ. 

snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/ --daq-dir /usr/local/lib/daq/
    
por 26.08.2011 / 05:32
0

Não sei bem qual é a correção, mas isso pode estar relacionado aos sinalizadores USE especificados para compilar o snort. Isto é relatado no seguinte POST O post eu acho que também contém uma solução temporária. / p>

Eu sugeriria usar outra distro / windows, ou ir perguntar nos fóruns do Gentoo sobre problemas de construção com o Snort.

    
por 23.01.2011 / 02:28
0

Eu sempre faço isso:

  1. Crie um NIC virtual eth10
  2. Reproduzir novamente o tráfego no eth10
  3. Capture o tráfego no eth10

Crie uma NIC virtual

Eu coloquei isso em um script bash para torná-lo executável (chmod + x script.sh) e executá-lo: 

#!/usr/bin/env bash

modprobe dummy
lsmod | grep dummy
ip link set name eth10 dev dummy0
ip link show eth10
ifconfig eth10 hw ether 00:22:22:ff:ff:ff
ip link show eth10
ip addr add 192.168.100.199/24 brd + dev eth10 label eth10:0
ifconfig eth10 up
ifconfig eth10 promisc

Reproduzir novamente o tráfego

Obtenha tcpreplay e faça: 

sudo tcpreplay -i eth10 -T nano mypcap.pcap

Capture o tráfego

Faça sniff sniff: 

sudo snort -i eth10 -u snort -g snort -c /etc/snort/snort.conf
    
por 29.08.2017 / 12:21

Tags

Erro “fileid changed” ao acessar arquivos via NFS Como um roteador obtém seu endereço IP atribuído?