3
Ubuntu 16.04LTS, Snort, Erkennung von nmap Scans
Ich habe ein Ubuntu 16.04LTS mit Snort versehen:
Danach habe ich in der snort.conf folgende Änderungen vorgenommen:
Wenn ich Snort nun mittels
starte kann ich nach Herzenslust den PC scannen, egal ob Xmas-Scan, Syn-Scan oder sonstwas, Snort schlägt nicht an...
Wo liegt das Problem - jemand eine Idee?
sudo apt-get install snortDanach habe ich in der snort.conf folgende Änderungen vorgenommen:
ipvar HOME_NET 192.168.1.102
# Set up the external network addresses. Leave as "any" in most situations
ipvar EXTERNAL_NET !$HOME_NET
...
preprocessor sfportscan: proto { all } scan_type { all } sense_level { high }
...
include $RULE_PATH/scan.rulesWenn ich Snort nun mittels
snort -A full -i enp0s3 -u snort -g snort -c /etc/snort/snort.conf starte kann ich nach Herzenslust den PC scannen, egal ob Xmas-Scan, Syn-Scan oder sonstwas, Snort schlägt nicht an...
Wo liegt das Problem - jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 335368
Url: https://administrator.de/contentid/335368
Printed on: April 20, 2024 at 02:04 o'clock
3 Comments
Latest comment
Von wo aus machst du denn die Scans - von außen oder von innen?
Denn - so verstehe ich die Regel in dem Script - die Snort-Filter werden nur aktiv, wenn die Daten von außerhalb des eigenen Netzes kommen.
Denn - so verstehe ich die Regel in dem Script - die Snort-Filter werden nur aktiv, wenn die Daten von außerhalb des eigenen Netzes kommen.
ipvar HOME_NET 192.168.1.102Eigenes netz ist nur diese IP und alles andere ist
ipvar EXTERNAL_NET !$HOME_NET Oder verstehe ich die .conf-Einstellungen falsch?
Ich scanne von 192.168.1.105 als gleiches Netz. Soll aber immer anschalgen egal wer und was scannt.
ipvar EXTERNAL_NET any Wenn ja, wie sollte die Conf-Datei aussehen um das zu erreichen was ich will?
Hab snort aus den quellen neu gebaut und nun klappt es...
