Snort (IDS)不显示端口扫描

Question

我已经通过这个说明安装了Snort &酸碱，并通过这个本地地址访问它。

127.0.0.1/酸碱/base_main.php

问题是在使用nmap命令扫描它之后

sudo nmap -p1-65535 -sV -sS -O Snort已安装IP地址

网络中另一台具有ping连接的计算机，在端口扫描流量中没有显示任何信息，并且始终为0%。我确信配置是可以的，因为它记录了所有其他内容，警报显示在Alert缓存中。

知道为什么Snort不显示端口扫描活动吗？

编辑：

我取消注释“预处理器sfportscan”，重新启动snort服务，用nmap进行端口扫描，结果: nothing。

预处理器sfportscan: proto { all } memcap { 10000000 } sense_level { high }

我在"ipvar HOME_NET“中输入了我的确切ip地址，重新启动snort服务，用另一台pc进行端口扫描，结果: nothing。

这一行包括

$PREPROC_RULE_PATH/PREPROC_RULE.规则

在该路径中没有preprocessor.rules文件。

Answer 1

您需要知道您的snort.conf和其他Snort设置才能回答这个问题。不过，无论你提供了什么有限的信息，我都会尽力回答。

很可能，portscan预进元的阈值设置(如果我记得正确的话称为sfportscan )在您的snort.conf中被设置为更高的(默认)值，并且您的端口扫描无法跨越这些阈值。另一个原因可能是您的$HOME_NET变量的定义方式使您正在扫描的IP不在您的HOME_NET中，因此Snort不关心对它的扫描。还可能有其他原因，例如用于扫描的IP以及目标IP，它们都是HOME_NET的一部分，因此Snort也不关心HOME_NET_NET扫描。

Answer 2

你得取消对这些行的评论

包括$PREPROC_RULE_PATH/PREPROC_RULE.规则

仅仅启用sfportscan不会完成所有操作，一旦检测到portscan，您仍然必须启用规则和操作。