snort入侵检测

Question

嗨，我试图使用snort作为一个IDS对我的一些pcap文件，我希望我会得到任何入侵的日志。我知道在pcap中有端口扫描和ping扫描等功能，但是当我尝试这个命令时：

C:\Snort\bin> snort -r c:\snort\log\trace_part01.pcap -l c:\snort\log -c c:\snort\etc\snort.conf -K ascii

什么都没有发生，我可以这样记录数据：

snort -r c:\snort\log\trace_part01.pcap -l c:\snort\log -K ascii

它构造了相关ip文件夹中的所有文件，并以.ids作为扩展名。

我刚开始使用snort，所以不太确定如何才能检测pcap中的入侵并将它们输出到文件中。

Answer 1

我怀疑问题在于您的snort.conf文件。

你有下面的台词吗？

include $PREPROC_RULE_PATH/preprocessor.rules

不加评论？如果没有，请取消注释以启用该规则，然后再次尝试强制Snort重新读取配置文件。

您可能还需要确保snort.conf中的以下行设置为高，但我不能100%肯定它是必要的-

preprocessor sfportscan: proto { all } memcap { 1000000 } sense_level { high } scan_type { all }