Snort无法检测局域网中的端口扫描

Question

设置信息

我正在用Snort2.9.8进行端口扫描检测实验。我的实验室有10个系统，id:1、2、3、...,10，我在实验室安装了snort，id:1。现在我用Pc和id:2在实验室用nmap扫描PC。

怀疑

当我扫描安装snort的机器(id:1)时，我会得到portscan警报，但是当我扫描其他系统时(例如: system，id:3)，snort不会生成任何警报。

那么，为什么snort不能在这个场景中生成portscan呢？

(我假设snort以混乱的模式监视HOME_NETWORK中的数据包，如果我错了，请纠正我。)

Answer 1

我假设snort以混乱的模式监视HOME_NETWORK中的数据包，如果我错了，请纠正我。

Snort只能监视可以在网卡上看到的数据包，即使是在混杂模式下也是如此。通常，网络中的交换机只会在连接特定设备的端口上发送数据包。这意味着Snort必须安装在交换机的监视器端口或类似的端口上。

另见http://openmaniak.com/snort_other.php

Answer 2

在不知道网络拓扑的情况下很难说，但我想您还没有在SPAN端口或类似的端口上设置snort。

如果您的网络是交换的，那么snort框将不会接收没有指向它的流量，也不会接收广播。它可能在杂乱的模式下监听，但是如果数据包没有真正到达接口，那么snort对此就无能为力了。

解决方案是将snort放在可以看到您想要检测的流量的位置。或者内联(在两个主机之间)，或者在SPAN端口上镜像交换机上的通信量。

Answer 3

您应该确保IDS以SPAN模式或端口镜像模式连接到交换机。然后您应该为vlan设置SPAN，然后所有的数据包都会访问您的端口，因此您的网卡，因此snort。