Estou usando o Snort 2.9 no Windows Server 2008 R2 x64, com uma configuração muito simples que é assim:
# Entire content of Snort.conf:
alert tcp any any -> any any (sid:5000000; content:"_secret_"; msg:"TRIGGERED";)
# command line:
snort.exe -c etc/Snort.conf -l etc/log -A console
Usando o meu navegador, eu envio a string "_secret_" na URL para o meu servidor (onde o Snort está localizado). Exemplo: http://myserver.com/index.php?_secret_
Snort recebe e lança um alerta, funciona, não tem problema! Mas quando eu tento algo assim:
<?php // (index.php)
header('XTest: _secret_'); // header
echo '_secret_'; // data
?>
Se eu solicitar apenas http://myserver.com/index.php , ele não funcionará ou detectará nada do tráfego de saída, mesmo que o arquivo php esteja enviando a mesma cadeia de caracteres nos cabeçalhos e nos dados, sem compactação / codificação ou qualquer outra. (Chequei usando o Wireshark)
Isso me parece um problema do Snort. Não importa o que eu faça, só detecta pacotes de recebimento. Alguém já enfrentou esse tipo de problema com o Snort? Alguma ideia de como consertar isso?
Depois de 6 dolorosas horas tentando tudo, eu finalmente consertei!
Só preciso adicionar -k none à linha de comando.
Por algum motivo, no meu PC desktop ele funciona sem o -k none parametre. Se alguém se importar em explicar o que está acontecendo, isso seria muito útil. Obrigado.
Parece que o descarregamento de checksum está causando seu problema.
O descarregamento da soma de verificação permite que a NIC calcule a soma de verificação TCP, evitando que a CPU tenha que executar a computação. A NIC executa cada cálculo antes de enviar um pacote e, infelizmente, o Snort pode capturar um pacote local antes do cálculo. Como resultado, a verificação de soma de verificação interna do Snort vê uma soma de verificação de 0 (uma vez que ainda não foi feito), interpreta-a como uma soma de verificação incorreta e não analisa mais o pacote.
É por isso que adicionar a opção -k none ao snort.exe o corrige; desabilita a verificação de soma de verificação interna do Snort, permitindo que os pacotes sejam analisados.
Só para você saber, é possível verificar e desativar o descarregamento da soma de verificação , mas como há algum desempenho risco para isso, eu acho que a solução -k é melhor.
Às vezes, o snaplen ( -P ) também pode ser um problema. Aumente o valor (o padrão é o tamanho do MTU) e você obterá muito mais dados.
Tags snort