Pregunta Snort 2.9.6 no alerta con el conjunto de reglas VRT pero con ETOpen


Me he suscrito a Snort VRT y recibí el último conjunto de reglas (snortrules-snapshot-2956.tar.gz), instalé snort desde la fuente usando (http://www.snort.org/assets/158/snortinstallguide293.pdf) guía para Ubuntu 12.04 LTS.

Encontré resoplido no alerta en muestras de solicitudes maliciosas, es decir, DT a ../../../etc/passwd, curl www.testmyids.com, portscan utilizando el conjunto de reglas VRT. Entonces agregué el conjunto de reglas ETOpen y comenzó a alertar en las solicitudes anteriores (curl www.testmyids.com, ping de muestra en local.rules, ataque de DNS):

04/03-11:32:47.780946  [**] [1:2100498:8] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} X.X.X.X:80 -> Y.Y.Y.Y:44591
04/03-11:47:28.034106  [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} X.X.X.X -> Y.Y.Y.Y
04/03-12:01:12.771472  [**] [1:2016016:6] ET CURRENT_EVENTS DNS Amplification Attack Inbound [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} X.X.X.X:39613 -> Y.Y.Y.Y:53

Como es la primera vez que uso VRT (utilicé ET antes y trabajé bastante bien),

  • esto es un comportamiento normal no para alertar sobre los eventos anteriores?
  • si no, ¿hay cualquier configuración Necesito establecer para VRT para trabajar? aquí está mi snort.conf

1


origen




Respuestas:


la alerta depende de la regla (conjuntos) cargados; VRT es diferente de ET y envía diferentes reglas; comparten un conjunto común de reglas vrt abiertas, aunque

así que cuando un conjunto de reglas cargado alerta y el otro no, debe ajustar su conjunto de reglas.

para más preguntas me gustaría dirigirlo a la lista de correo snort-mailing, porque esta es una cuestión de configuración / comprensión-cómo-funciona-:)


0



Gracias por el puntero en la lista de correo, copié la pregunta por allí. VRT por sí solo no ha alertado sobre ninguna solicitud de muestra que haya generado manualmente incluso ahora cuando el servidor se enfrenta públicamente (en ese caso hay una gran cantidad de intentos). Una vez que agregué ET, ET comenzó a detectar eventos. Si, como dijiste, VRT carece o no tiene los de ET, ¡entonces esos son falsos negativos serios!