如何使用AlienVault中集成的Snort来检测从虚拟机传输到另一个虚拟机的几个ping？

Question

记录在案:我做了以下说明(在网站上找到的)

1. 我启用了snort传感器(snort_syslog和snortunified)。
2. 在alienvault：~# nano /etc/snort/rules/local.rules
3. 我做了以下规定 通知icmp 192.168.1.130 192.168.1.120 ->任意(msg:"blablabla"；sid:1000004)
4. 保存和退出
5. 在那之后我做了： alienvault:~# perl /usr/share/ossim/script/createsidmap.pl/etc/snort/alienvault：~#/
6. alienvault:~# /etc/init.d/ossim-server restart

出于某些原因，当我从AlienVault中ping 192.168.1.120时，暹粒中的192.168.1.120接口不会发生任何事情。

有什么主意吗？

Answer 1

我不知道它是否仍然相关，但在我看来，你的Snort规则有一个错误：

Snort中的规则不能由规则头的第一部分中的两个IP地址组成。在声明IP '192.168.1.120‘的时候，您必须声明一个端口。

您需要的解决方案如下(如果我对的话)：

警报icmp 192.168.120任何-> 192.168.1.130 any (msg:"blablabla"；sid:1000004) )

另一种方式是：

警报icmp 192.168.1.130任何sid:1000005) 192.168.1.120 any (msg:"blablabla"；sid：1000005))

要用正确的语法编写规则，请看snort：http://manual.snort.org/node29.html#SECTION00423000000000000000手册

我希望这能帮到你。

/Chris