Snort不检测除ping之外的规则

Question

嗨，我有一个关于Snort配置的问题。

我与流浪主机建立了一个虚拟网络，其中一台主机运行Snort (使用Barnyard2)，Snort主机处于混杂模式，因此我可以读取192.168.10.*/24中的所有数据包。PING运行得很好，我在/etc/snort/rules/local.rules中有一个规则：

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

此规则映射正确，我可以看到任何主机之间的每个PING，barnyard2读取输出并将其存储在DB中。

问题是，当我尝试添加另一个规则时，我尝试记录SSH和NMAP，例如：

alert tcp any any -> any any (sid:1000005; gid:1; flow:stateless; ack:0; flags:S; ttl:>220; priority:1; msg:"nmap scan"; classtype:network-scan; rev:1;)
alert tcp any any -> $HOME_NET 22 (msg:"Potential SSH Brute Force Attack"; flow:to_server; flags:S; threshold:type threshold, track by_src, count 3, seconds 60; classtype:attempted-dos; sid:2001219; rev:4; resp:rst_all; )

使用这两条规则，我看不到任何警报或日志记录。

我还使用PulledPork获取更新的规则，并尝试使用IDSwakeup检查它们是否工作，但显然没有发生任何情况。

配置文件/etc/snort/snort.conf似乎配置正确(没有注释)：

vagrant@vagrant-ubuntu-trusty-64:~$ cat /etc/snort/snort.conf | grep rules
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
dynamicdetection directory /usr/local/lib/snort_dynamicrules
   whitelist $WHITE_LIST_PATH/white_list.rules, \
   blacklist $BLACK_LIST_PATH/black_list.rules 
include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules

规则文件似乎放在了正确的位置：

vagrant@vagrant-ubuntu-trusty-64:~$ tree /etc/snort/rules/
/etc/snort/rules/
├── black_list.rules
├── iplists
│   └── default.blacklist
├── iplistsIPRVersion.dat
├── local.rules
├── snort.rules
├── test.rules
└── white_list.rules

我还尝试清空snort.rules，只保留local.rules，以了解它是否由于硬件限制而无法工作，但没有任何变化。

我不知道是不是因为：-错误的配置-错误的规则-错误的攻击-硬件要求

你能帮我吗？:)

Answer 1

首先要做的是检查，除了Ping之外，是否还有其他东西通过snort侦听的接口和端口进行传输。

为此，我建议您安装工具ngrep，例如检查HTTP请求。为此，请通过'ngrep HTTP ‘"^GET.*“调用它，或者如果您不期望-ed流量，请查找其他重要内容。