salut
dsl! j'ai quelque question conserne la configuration de snort!
j'ai un exposé où je doit manipuler "snort" et "asterisk" ( pour implementer un system alert vocal pour les intrusion réseaux )
j'ai suivi ce doc " http://www.howtoforge.com/intrusion-det ... buntu-7.10 " ( stp je demande de lire se doc pour ensuite me conprendre )
je me suis arrttt sur cette command " vim /etc/snort/snort.conf "
et la je c pas se que je doit mettre comme config!
g ADSL easy " algérie " mes @ip change chaque conexion
41.201.x.x?? !! ( se que g mi on "x" change chaque nouvel conexion )
autre chose l'encadreur demande de faire on sorte que snort soie configurer pour une detection de ping ou quelque chose comme sa :s
alors SVP help! je veux savoir se que je doit modifier de début a la fin sur snort.conf ( des explication precise svp pour quelqu'un qui connais rien de rien :s )
et se que je doit faire pour arrivé au but demandé par l'encadreur
Il y a actuellement 338 visiteurs
Dimanche 24 Novembre 2024
       |
help snort.conf
8 messages
• Page 1 sur 1
Re: help snort.conf
le 03 Fév 2009 21:52
abdoulive a écrit:g ADSL easy " algérie " mes @ip change chaque conexion
41.201.x.x?? !! ( se que g mi on "x" change chaque nouvel conexion )
SNORT doit surement surveiller le réseau local, pas le réseau WAN. Donc c'est plutot de l'IP privée que tu dois mettre ici, genre 192.168.0.0/4 ou 192.168.1.0/24 selon tes ip. (tu fais un ifconfig en console et tu sauras ton IP).
abdoulive a écrit:autre chose l'encadreur demande de faire on sorte que snort soie configurer pour une detection de ping ou quelque chose comme sa :s
Donc tu cherches tu coté des règles de détection de SNORT, et notamment du protocole ICMP pour la détection du ping.
abdoulive a écrit:alors SVP help! je veux savoir se que je doit modifier de début a la fin sur snort.conf ( des explication precise svp pour quelqu'un qui connais rien de rien :s )
S'il y en a qui se sentent, peut-être, mais perso c'est pas mon truc de te faire ton exam de A à Z.
Tu n'y connais rien, mais si on te fait tout tu n'y connaitras pas grand chose de plus à la fin.
-
CaSa - PC-Infopraticien
- Messages: 9048
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron... et jamais loin d'une Debian
le 03 Fév 2009 22:13
ifconfig
eth0 Link encap:Ethernet HWaddr 00:13:8f:b1:23:67
adr inet6: fe80::213:8fff:feb1:2367/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:14164 erreurs:0 :0 overruns:0 frame:0
TX packets:15623 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:13220390 (12.6 MB) Octets transmis:2434303 (2.3 MB)
Interruption:21 Adresse de base:0xa800
lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Packets reçus:1080 erreurs:0 :0 overruns:0 frame:0
TX packets:1080 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:54430 (53.1 KB) Octets transmis:54430 (53.1 KB)
ppp0 Link encap:Protocole Point-à-Point
inet adr:41.201.125.48 P-t-P:41.201.96.1 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
Packets reçus:13823 erreurs:0 :0 overruns:0 frame:0
TX packets:15328 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
Octets reçus:12895757 (12.2 MB) Octets transmis:2079217 (1.9 MB)
alors elle est où @ip fixe
?
autre chose c 1% de se que je doit faire
!! je bloque sur sa sa fait des mois!! j'ai refait l'instalation plusieurs fois!! est tjr je me trouve sur fatal erreur quand je lance snort!! alors g trouvé que g des pb sur snort.conf!!
je ne c pas qu'elle sont exactement les regle et tout les modification sur se snort.conf pour réusir o moins de lancé snort comme je veu pour sniffer ou pour détecté ou pour autre chose!!
SVP aidez moi o moins sur snort.conf !!!
eth0 Link encap:Ethernet HWaddr 00:13:8f:b1:23:67
adr inet6: fe80::213:8fff:feb1:2367/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:14164 erreurs:0 :0 overruns:0 frame:0
TX packets:15623 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:13220390 (12.6 MB) Octets transmis:2434303 (2.3 MB)
Interruption:21 Adresse de base:0xa800
lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Packets reçus:1080 erreurs:0 :0 overruns:0 frame:0
TX packets:1080 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:54430 (53.1 KB) Octets transmis:54430 (53.1 KB)
ppp0 Link encap:Protocole Point-à-Point
inet adr:41.201.125.48 P-t-P:41.201.96.1 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
Packets reçus:13823 erreurs:0 :0 overruns:0 frame:0
TX packets:15328 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
Octets reçus:12895757 (12.2 MB) Octets transmis:2079217 (1.9 MB)
alors elle est où @ip fixe
?
autre chose c 1% de se que je doit faire
!! je bloque sur sa sa fait des mois!! j'ai refait l'instalation plusieurs fois!! est tjr je me trouve sur fatal erreur quand je lance snort!! alors g trouvé que g des pb sur snort.conf!!
je ne c pas qu'elle sont exactement les regle et tout les modification sur se snort.conf pour réusir o moins de lancé snort comme je veu pour sniffer ou pour détecté ou pour autre chose!!
SVP aidez moi o moins sur snort.conf !!!
- abdoulive
- Visiteur
- Messages: 4
- Inscription: 03 Fév 2009 21:20
le 25 Mar 2009 01:14
salut !! j'ai relier deux pc avec un cable croisé !! j'ai terminé où je me ss arreté
mais je me suis bloqué sur un probleme sur cette étape ( je suis toujour le meme doc )
12. Time to test Snort
In the terminal type:
# snort -c /etc/snort/snort.conf
If everything went well you should see an ascii pig.
To end the test hit ctrl + c.
pour moi il m'affiche a la fin fatal error ( alors que je suivez bien le doc ) SVP AIDEZ MOI
:~/snorttmp/snort-2.8.3.2/etc# snort -c /etc/snort/snort.conf
Running in IDS mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf
PortVar 'HTTP_PORTS' defined : [ 80 ]
PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]
PortVar 'ORACLE_PORTS' defined : [ 1521 ]
Frag3 global config:
Max frags: 65536
Fragment memory cap: 4194304 bytes
Frag3 engine config:
Target-based policy: FIRST
Fragment timeout: 60 seconds
Fragment min_ttl: 1
Fragment ttl_limit (not used): 5
Fragment Problems: 1
Stream5 global config:
Track TCP sessions: ACTIVE
Max TCP sessions: 8192
Memcap (for reassembly packet storage): 8388608
Track UDP sessions: INACTIVE
Track ICMP sessions: INACTIVE
Log info if session memory consumption exceeds 1048576
Stream5 TCP Policy config:
Reassembly Policy: FIRST
Timeout: 30 seconds
Min ttl: 1
Maximum number of bytes to queue per session: 1048576
Maximum number of segs to queue per session: 2621
Options:
Static Flushpoint Sizes: YES
Reassembly Ports:
21 client (Footprint)
23 client (Footprint)
25 client (Footprint)
42 client (Footprint)
53 client (Footprint)
80 client (Footprint)
110 client (Footprint)
111 client (Footprint)
135 client (Footprint)
136 client (Footprint)
137 client (Footprint)
139 client (Footprint)
143 client (Footprint)
445 client (Footprint)
513 client (Footprint)
514 client (Footprint)
1433 client (Footprint)
1521 client (Footprint)
2401 client (Footprint)
3306 client (Footprint)
HttpInspect Config:
GLOBAL CONFIG
Max Pipeline Requests: 0
Inspection Type: STATELESS
Detect Proxy Usage: NO
IIS Unicode Map Filename: /etc/snort/unicode.map
IIS Unicode Map Codepage: 1252
DEFAULT SERVER CONFIG:
Server profile: All
Ports: 80 8080 8180
Server Flow Depth: 300
Client Flow Depth: 300
Max Chunk Length: 500000
Max Header Field Length: 0
Inspect Pipeline Requests: YES
URI Discovery Strict Mode: NO
Allow Proxy Usage: NO
Disable Alerting: NO
Oversize Dir Length: 500
Only inspect URI: NO
Normalize HTTP Headers: NO
Normalize HTTP Cookies: NO
Ascii: YES alert: NO
Double Decoding: YES alert: YES
%U Encoding: YES alert: YES
Bare Byte: YES alert: YES
Base36: OFF
UTF 8: OFF
IIS Unicode: YES alert: YES
Multiple Slash: YES alert: NO
IIS Backslash: YES alert: NO
Directory Traversal: YES alert: NO
Web Root Traversal: YES alert: YES
Apache WhiteSpace: YES alert: NO
IIS Delimiter: YES alert: NO
IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG
Non-RFC Compliant Characters: NONE
Whitespace Characters: 0x09 0x0b 0x0c 0x0d
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE
alert_large_fragments: ACTIVE
alert_incomplete: ACTIVE
alert_multiple_requests: ACTIVE
Portscan Detection Config:
Detect Protocols: TCP UDP ICMP IP
Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan
Sensitivity Level: Low
Memcap (in bytes): 10000000
Number of Nodes: 36900
Tagged Packet Limit: 256
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... done
Loading all dynamic preprocessor libs from /usr/local/lib/snort_dynamicpreprocessor/...
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_dns_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_ftptelnet_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//lib_sfdynamic_preprocessor_example.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_dcerpc_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_ssh_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_smtp_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_ssl_preproc.so... done
Finished Loading all dynamic preprocessor libs from /usr/local/lib/snort_dynamicpreprocessor/
FTPTelnet Config:
GLOBAL CONFIG
Inspection Type: stateful
Check for Encrypted Traffic: YES alert: YES
Continue to check encrypted data: NO
TELNET CONFIG:
Ports: 23
Are You There Threshold: 200
Normalize: YES
Detect Anomalies: NO
FTP CONFIG:
FTP Server: default
Ports: 21
Check for Telnet Cmds: YES alert: YES
Identify open data channels: YES
FTP Client: default
Check for Bounce Attacks: YES alert: YES
Check for Telnet Cmds: YES alert: YES
Max Response Length: 256
SMTP Config:
Ports: 25 587 691
Inspection Type: Stateful
Normalize: EXPN RCPT VRFY
Ignore Data: No
Ignore TLS Data: No
Ignore SMTP Alerts: No
Max Command Line Length: Unlimited
Max Specific Command Line Length:
ETRN:500 EXPN:255 HELO:500 HELP:500 MAIL:260
RCPT:300 VRFY:255
Max Header Line Length: Unlimited
Max Response Line Length: Unlimited
X-Link2State Alert: Yes
Drop on X-Link2State Alert: No
Alert on commands: None
DCE/RPC Decoder config:
Autodetect ports ENABLED
SMB fragmentation ENABLED
DCE/RPC fragmentation ENABLED
Max Frag Size: 3000 bytes
Memcap: 100000 KB
Alert if memcap exceeded DISABLED
Reassembly increment: DISABLED
DNS config:
DNS Client rdata txt Overflow Alert: ACTIVE
Obsolete DNS RR Types Alert: INACTIVE
Experimental DNS RR Types Alert: INACTIVE
Ports: 53
SSLPP config:
Encrypted packets: not inspected
Ports:
443 465 563 636 989
992 993 994 995
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
2830 Snort rules read
2830 detection rules
0 decoder rules
0 preprocessor rules
2830 Option Chains linked into 215 Chain Headers
0 Dynamic rules
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Rule Port Counts]---------------------------------------
| tcp udp icmp ip
| src 122 12 0 0
| dst 2382 163 0 0
| any 68 50 50 20
| nc 22 8 15 18
| s+d 3 3 0 0
+----------------------------------------------------------------------------
+-----------------------[thresholding-config]----------------------------------
| memory-cap : 1048576 bytes
+-----------------------[thresholding-global]----------------------------------
| none
+-----------------------[thresholding-local]-----------------------------------
| gen-id=1 sig-id=3152 type=Threshold tracking=src count=5 seconds=2
| gen-id=1 sig-id=2495 type=Both tracking=dst count=20 seconds=60
| gen-id=1 sig-id=2924 type=Threshold tracking=dst count=10 seconds=60
| gen-id=1 sig-id=2496 type=Both tracking=dst count=20 seconds=60
| gen-id=1 sig-id=2494 type=Both tracking=dst count=20 seconds=60
| gen-id=1 sig-id=3527 type=Limit tracking=dst count=5 seconds=60
| gen-id=1 sig-id=2275 type=Threshold tracking=dst count=5 seconds=60
| gen-id=1 sig-id=3273 type=Threshold tracking=src count=5 seconds=2
| gen-id=1 sig-id=3542 type=Threshold tracking=src count=5 seconds=2
| gen-id=1 sig-id=2923 type=Threshold tracking=dst count=10 seconds=60
| gen-id=1 sig-id=2523 type=Both tracking=dst count=10 seconds=10
| gen-id=1 sig-id=3543 type=Threshold tracking=src count=5 seconds=2
+-----------------------[suppression]------------------------------------------
| none
-------------------------------------------------------------------------------
Rule application order: activation->dynamic->pass->drop->alert->log
Log directory = /var/log/snort
Verifying Preprocessor Configurations!
Warning: flowbits key 'realplayer.playlist' is checked but not ever set.
Warning: flowbits key 'ms_sql_seen_dns' is checked but not ever set.
Warning: flowbits key 'smb.tree.create.llsrpc' is set but not ever checked.
Warning: flowbits key 'dce.bind.veritas' is set but not ever checked.
35 out of 512 flowbits in use.
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
database: compiled support for ( mysql )
database: configured to use mysql
database: user = root
database: password is set
database: database name = snort
database: host = localhost
database: sensor name = 192.168.0.1
database: mysql_error: Table 'snort.sensor' doesn't exist
database: mysql_error: Table 'snort.sensor' doesn't exist
SQL=INSERT INTO sensor (hostname, interface, detail, encoding, last_cid) VALUES ('192.168.0.1','eth0',1,0, 0)
database: mysql_error: Table 'snort.sensor' doesn't exist
database: Problem obtaining SENSOR ID (sid) from snort->sensor
ERROR: When this plugin starts, a SELECT query is run to find the sensor id for the
currently running sensor. If the sensor id is not found, the plugin will run
an INSERT query to insert the proper data and generate a new sensor id. Then a
SELECT query is run to get the newly allocated sensor id. If that fails then
this error message is generated.
Some possible causes for this error are:
* the user does not have proper INSERT or SELECT privileges
* the sensor table does not exist
If you are _absolutely_ certain that you have the proper privileges set and
that your database structure is built properly please let me know if you
continue to get this error. You can contact me at (roman@danyliw.com).
Fatal Error, Quitting..
mais je me suis bloqué sur un probleme sur cette étape ( je suis toujour le meme doc )
12. Time to test Snort
In the terminal type:
# snort -c /etc/snort/snort.conf
If everything went well you should see an ascii pig.
To end the test hit ctrl + c.
pour moi il m'affiche a la fin fatal error ( alors que je suivez bien le doc ) SVP AIDEZ MOI
:~/snorttmp/snort-2.8.3.2/etc# snort -c /etc/snort/snort.conf
Running in IDS mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf
PortVar 'HTTP_PORTS' defined : [ 80 ]
PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]
PortVar 'ORACLE_PORTS' defined : [ 1521 ]
Frag3 global config:
Max frags: 65536
Fragment memory cap: 4194304 bytes
Frag3 engine config:
Target-based policy: FIRST
Fragment timeout: 60 seconds
Fragment min_ttl: 1
Fragment ttl_limit (not used): 5
Fragment Problems: 1
Stream5 global config:
Track TCP sessions: ACTIVE
Max TCP sessions: 8192
Memcap (for reassembly packet storage): 8388608
Track UDP sessions: INACTIVE
Track ICMP sessions: INACTIVE
Log info if session memory consumption exceeds 1048576
Stream5 TCP Policy config:
Reassembly Policy: FIRST
Timeout: 30 seconds
Min ttl: 1
Maximum number of bytes to queue per session: 1048576
Maximum number of segs to queue per session: 2621
Options:
Static Flushpoint Sizes: YES
Reassembly Ports:
21 client (Footprint)
23 client (Footprint)
25 client (Footprint)
42 client (Footprint)
53 client (Footprint)
80 client (Footprint)
110 client (Footprint)
111 client (Footprint)
135 client (Footprint)
136 client (Footprint)
137 client (Footprint)
139 client (Footprint)
143 client (Footprint)
445 client (Footprint)
513 client (Footprint)
514 client (Footprint)
1433 client (Footprint)
1521 client (Footprint)
2401 client (Footprint)
3306 client (Footprint)
HttpInspect Config:
GLOBAL CONFIG
Max Pipeline Requests: 0
Inspection Type: STATELESS
Detect Proxy Usage: NO
IIS Unicode Map Filename: /etc/snort/unicode.map
IIS Unicode Map Codepage: 1252
DEFAULT SERVER CONFIG:
Server profile: All
Ports: 80 8080 8180
Server Flow Depth: 300
Client Flow Depth: 300
Max Chunk Length: 500000
Max Header Field Length: 0
Inspect Pipeline Requests: YES
URI Discovery Strict Mode: NO
Allow Proxy Usage: NO
Disable Alerting: NO
Oversize Dir Length: 500
Only inspect URI: NO
Normalize HTTP Headers: NO
Normalize HTTP Cookies: NO
Ascii: YES alert: NO
Double Decoding: YES alert: YES
%U Encoding: YES alert: YES
Bare Byte: YES alert: YES
Base36: OFF
UTF 8: OFF
IIS Unicode: YES alert: YES
Multiple Slash: YES alert: NO
IIS Backslash: YES alert: NO
Directory Traversal: YES alert: NO
Web Root Traversal: YES alert: YES
Apache WhiteSpace: YES alert: NO
IIS Delimiter: YES alert: NO
IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG
Non-RFC Compliant Characters: NONE
Whitespace Characters: 0x09 0x0b 0x0c 0x0d
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE
alert_large_fragments: ACTIVE
alert_incomplete: ACTIVE
alert_multiple_requests: ACTIVE
Portscan Detection Config:
Detect Protocols: TCP UDP ICMP IP
Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan
Sensitivity Level: Low
Memcap (in bytes): 10000000
Number of Nodes: 36900
Tagged Packet Limit: 256
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... done
Loading all dynamic preprocessor libs from /usr/local/lib/snort_dynamicpreprocessor/...
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_dns_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_ftptelnet_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//lib_sfdynamic_preprocessor_example.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_dcerpc_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_ssh_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_smtp_preproc.so... done
Loading dynamic preprocessor library /usr/local/lib/snort_dynamicpreprocessor//libsf_ssl_preproc.so... done
Finished Loading all dynamic preprocessor libs from /usr/local/lib/snort_dynamicpreprocessor/
FTPTelnet Config:
GLOBAL CONFIG
Inspection Type: stateful
Check for Encrypted Traffic: YES alert: YES
Continue to check encrypted data: NO
TELNET CONFIG:
Ports: 23
Are You There Threshold: 200
Normalize: YES
Detect Anomalies: NO
FTP CONFIG:
FTP Server: default
Ports: 21
Check for Telnet Cmds: YES alert: YES
Identify open data channels: YES
FTP Client: default
Check for Bounce Attacks: YES alert: YES
Check for Telnet Cmds: YES alert: YES
Max Response Length: 256
SMTP Config:
Ports: 25 587 691
Inspection Type: Stateful
Normalize: EXPN RCPT VRFY
Ignore Data: No
Ignore TLS Data: No
Ignore SMTP Alerts: No
Max Command Line Length: Unlimited
Max Specific Command Line Length:
ETRN:500 EXPN:255 HELO:500 HELP:500 MAIL:260
RCPT:300 VRFY:255
Max Header Line Length: Unlimited
Max Response Line Length: Unlimited
X-Link2State Alert: Yes
Drop on X-Link2State Alert: No
Alert on commands: None
DCE/RPC Decoder config:
Autodetect ports ENABLED
SMB fragmentation ENABLED
DCE/RPC fragmentation ENABLED
Max Frag Size: 3000 bytes
Memcap: 100000 KB
Alert if memcap exceeded DISABLED
Reassembly increment: DISABLED
DNS config:
DNS Client rdata txt Overflow Alert: ACTIVE
Obsolete DNS RR Types Alert: INACTIVE
Experimental DNS RR Types Alert: INACTIVE
Ports: 53
SSLPP config:
Encrypted packets: not inspected
Ports:
443 465 563 636 989
992 993 994 995
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
2830 Snort rules read
2830 detection rules
0 decoder rules
0 preprocessor rules
2830 Option Chains linked into 215 Chain Headers
0 Dynamic rules
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Rule Port Counts]---------------------------------------
| tcp udp icmp ip
| src 122 12 0 0
| dst 2382 163 0 0
| any 68 50 50 20
| nc 22 8 15 18
| s+d 3 3 0 0
+----------------------------------------------------------------------------
+-----------------------[thresholding-config]----------------------------------
| memory-cap : 1048576 bytes
+-----------------------[thresholding-global]----------------------------------
| none
+-----------------------[thresholding-local]-----------------------------------
| gen-id=1 sig-id=3152 type=Threshold tracking=src count=5 seconds=2
| gen-id=1 sig-id=2495 type=Both tracking=dst count=20 seconds=60
| gen-id=1 sig-id=2924 type=Threshold tracking=dst count=10 seconds=60
| gen-id=1 sig-id=2496 type=Both tracking=dst count=20 seconds=60
| gen-id=1 sig-id=2494 type=Both tracking=dst count=20 seconds=60
| gen-id=1 sig-id=3527 type=Limit tracking=dst count=5 seconds=60
| gen-id=1 sig-id=2275 type=Threshold tracking=dst count=5 seconds=60
| gen-id=1 sig-id=3273 type=Threshold tracking=src count=5 seconds=2
| gen-id=1 sig-id=3542 type=Threshold tracking=src count=5 seconds=2
| gen-id=1 sig-id=2923 type=Threshold tracking=dst count=10 seconds=60
| gen-id=1 sig-id=2523 type=Both tracking=dst count=10 seconds=10
| gen-id=1 sig-id=3543 type=Threshold tracking=src count=5 seconds=2
+-----------------------[suppression]------------------------------------------
| none
-------------------------------------------------------------------------------
Rule application order: activation->dynamic->pass->drop->alert->log
Log directory = /var/log/snort
Verifying Preprocessor Configurations!
Warning: flowbits key 'realplayer.playlist' is checked but not ever set.
Warning: flowbits key 'ms_sql_seen_dns' is checked but not ever set.
Warning: flowbits key 'smb.tree.create.llsrpc' is set but not ever checked.
Warning: flowbits key 'dce.bind.veritas' is set but not ever checked.
35 out of 512 flowbits in use.
***
*** interface device lookup found: eth0
***
Initializing Network Interface eth0
Decoding Ethernet on interface eth0
database: compiled support for ( mysql )
database: configured to use mysql
database: user = root
database: password is set
database: database name = snort
database: host = localhost
database: sensor name = 192.168.0.1
database: mysql_error: Table 'snort.sensor' doesn't exist
database: mysql_error: Table 'snort.sensor' doesn't exist
SQL=INSERT INTO sensor (hostname, interface, detail, encoding, last_cid) VALUES ('192.168.0.1','eth0',1,0, 0)
database: mysql_error: Table 'snort.sensor' doesn't exist
database: Problem obtaining SENSOR ID (sid) from snort->sensor
ERROR: When this plugin starts, a SELECT query is run to find the sensor id for the
currently running sensor. If the sensor id is not found, the plugin will run
an INSERT query to insert the proper data and generate a new sensor id. Then a
SELECT query is run to get the newly allocated sensor id. If that fails then
this error message is generated.
Some possible causes for this error are:
* the user does not have proper INSERT or SELECT privileges
* the sensor table does not exist
If you are _absolutely_ certain that you have the proper privileges set and
that your database structure is built properly please let me know if you
continue to get this error. You can contact me at (roman@danyliw.com).
Fatal Error, Quitting..
- abdoulive
- Visiteur
- Messages: 4
- Inscription: 03 Fév 2009 21:20
le 13 Mai 2009 09:19
salut,
tu as demande à snort de logger les alertes dans une base mysql or celle ci ne semble pas crée .
dans la conf de snort , cherche la ligne sivante:
output database: log, mysql, user=snort password=<password> dbname=snort host=localhost
a mettre en commentaire si tu veux pas utiliser sinon in faut creer la base ( donc install de mysql + creation du schema )
tu as demande à snort de logger les alertes dans une base mysql or celle ci ne semble pas crée .
dans la conf de snort , cherche la ligne sivante:
output database: log, mysql, user=snort password=<password> dbname=snort host=localhost
a mettre en commentaire si tu veux pas utiliser sinon in faut creer la base ( donc install de mysql + creation du schema )
- tomelo
- Visiteur
- Messages: 1
- Inscription: 13 Mai 2009 09:14
Re: help snort.conf
le 23 Mar 2012 00:02
Moi aussi j'ai comme PFE l'installation et la configuration de Snort ! et j'arrive pas à l'installer ! j'ai essayé toutes les étapes que j'ai trouvé sur google et sans résultat !! a chaque fois il me déclare une erreur !! que je comprends pas ! Bon je travaille sur VM ware avec Ubuntu 10.10 !! svp je veux un doc avec l'installation et la configuration detaillée !! svpp
- nassera
- Visiteur
- Messages: 1
- Inscription: 22 Mar 2012 23:52
8 messages
• Page 1 sur 1
Sujets similaires
mesure de taux de faux positifs pour un IDS snortsalut,S'il vous plait mes amies m'aider de trouver un outil sous linux qui me permet de générer le fausses alarmes (taux de faux positifs) pour un IDS snort . Merci de me répondre
Réponses: 0
Problème sauvegarde conf routeur CiscoBonjour à tous et à toutes !Voilà un petit post pour un problème de sauvegarde sur un routeur Cisco.J'ai télécharger le cisco TFTP server pour sauvegarder la conf sur mon post, et donc sur le routeur en mode Enable bien sur, je fais un copy run TFTP, ensuite je tape l'adresse IP de mon post sur lequ ...
Réponses: 6
conf gamerBonjours, je souhaite m'acheter une tour, j'avais déjà fait un poste ya un moment mais j'ai u quelque problème persso ...Enfin bon, je redemande votre avis si vous le voulez bien.... ÉCRAN LCD IIYAMA PROLITE B2712HDS 27pDonc socket 1156I7 870 ( on peu me dire la différence entre le 870 et le 875k ...
Réponses: 20
Conf tour pour vidéoBonjour à tous,Je souhaite changer ma tour actuelle.J'ai un budget de ... 300€ c'est essentiellement pour faire de la vidéo et quelques jeux mais pas des plus gourmands.Mon caddie :- CM- PROC- RAM- DD- CG- ATX + Alim +ventilSi vous avez des idées merci d'avance...
Réponses: 3
Problème d'accès au panneau de conf'Bonjour, Alors voilà, il semblerait que je ne puisse plus acceder au panneau de configuration. lorsque j'essaye, un message "impossible de créer un raccourci ici, souhaitez-vous placer le raccourci sur le bureau?" apparaît... Je me demande à quoi c'est dû? Aurais-je fais une mauvaise mani ...
Réponses: 4
[réglé] [win98se] pb panneau de conf , proprietés reseauxBonjour à tous comme d'habitude dans la categorie j'ai un pb à la con je propose : sur pas mal de postes (4 comme indiqué si dessous) de ma boite j'ai ce genre de pb : impossible d'utiliser les icones du panneau de configuration (on clic sur l'icone mais rien ne se passe ) impossible d'utilise ...
Réponses: 3
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités
|
.: Nous contacter :: Flux RSS :: Données personnelles :. |