Snort problemchen beim Loggen

#0
16.05.2003, 17:57
...neu hier

Beiträge: 2
#1 hi, also ich experimentiere derzeit mit SNORT rum, und habe auch einiges an INFoS aus dem Netz gefischt... allerdings habe ich noch bei der Protokollierung im Output paar Probleme...

- sitze direkt am Router (2 Interfaces eth0 -> MODEM && eth1=192.168.99.1)
also meine bissherigen einstellungen...

nach der Installation habe ich eine Seperrate snort.conf erstellt...

snort.conf

Code

# Snort-Konfigurationsdatei
#
var HOME_NET 192.168.99.0/10
var EXTERNAL_NET any
var INCLUDEPATH ./

# Verwende Interface eth0
config interface: eth0

# Verwende einen anderen Benutzerkontext
config set_gid: snort
config set_uid: snort

Preprocessor frag2
Preprocessor stream4
Preprocessor http_decode: 80 8080
Preprocessor portscan: $HOME_NET 4 2 portscan.log

Output log_tcpdump: binary.log
Output alert_syslog: LOG_AUTH LOG_ALERT

Include $INCLUDEPATH/rules.conf


und eine rules.conf um die Optionen zu testen.

rules.conf

Code


alert icmp $EXTERNAL_NET any <> $HOME_NET any (msg: "PING-Paket";)
alert tcp any any -> $HOME_NET 80 (msg: "IIS Data Stream Zugriff"; content: ".asp\:\:$data";)


soweit so gut ...

nun tauchen 2 Probleme auf.
1_Problem das Loggen mit tcpdump funktioniert nicht ...

Console_2 <<-- tcpdump gestartet

Code

tcpdump -n icmp -w pingpa
tcpdump: listening on eth0


Console_3 <<-- Einen PING test durch geführt

Code

 ping -c1 [url]www.linux.de[/url]
PING [url]www.linux.de[/url] (62.180.126.148): 56 octets data

--- [url]www.linux.de[/url] ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss


ERGEBNIS:[/B
[B]Console_2
<<-- tcpdump gestopt und snort zum auslesen der tcpdump_logfile "pingpa" gestartet

Code

snort -vdr pingpa
No run mode specified, defaulting to verbose mode
Running in packet dump mode
Log directory = /var/log/snort
TCPDUMP file reading mode.
Reading network traffic from "pingpa" file.
snaplen = 96
<cut>

es wurde nichts Prtokoliert...., selbst nicht in /var/log/snort/

ich sehe dort keine Header info und keine ip etc. ...
stehen dann nur in der "alert"-Datei

2_Problem ich möchte gerne den Inhalt der Packete mit Loggen. Also oben habe ich die regel festgelegt mit dem Content nur fehlt mir jetzt die Option wo und wie ich das komplette Packet samt inhalt loggen kann ...
Dieser Beitrag wurde am 16.05.2003 um 17:58 Uhr von utang editiert.
Seitenanfang Seitenende
16.05.2003, 19:35
...neu hier

Themenstarter

Beiträge: 2
#2 werde mal das mit der DB versuchen ....

wenn ich meintwegen "output log_tcpdump: /var/log/snort/binary.log" anschalte und
dann "snort -dve -c /etc/snort/snort.conf" snort starte, und dann mal n refresh einer Inet seite, kommt folgendes in der snort Console:

Code

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

05/16-19:16:45.464968 0:90:27:5A:44:C2 -> 0:90:1A:40:9:C4 type:0x8864 len:0x4A
80.144.165.5:47923 -> 62.180.126.148:80 TCP TTL:64 TOS:0x0 ID:22653 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xA0EF70EF  Ack: 0x7CDB2C58  Win: 0x5780  TcpLen: 32
TCP Options (3) => NOP NOP TS: 8484233 1765635050

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

05/16-19:16:45.506346 0:90:1A:40:9:C4 -> 0:90:27:5A:44:C2 type:0x8864 len:0x120
62.180.126.148:80 -> 80.144.165.5:47925 TCP TTL:54 TOS:0x0 ID:49667 IpLen:20 DgmLen:266 DF
***AP*** Seq: 0x7D32DB8F  Ack: 0xA0CEF20E  Win: 0x7F1A  TcpLen: 32
TCP Options (3) => NOP NOP TS: 1765635057 8484219
48 54 54 50 2F 31 2E 31 20 33 30 34 20 4E 6F 74  HTTP/1.1 304 Not
20 4D 6F 64 69 66 69 65 64 0D 0A 44 61 74 65 3A   Modified..Date:
20 46 72 69 2C 20 31 36 20 4D 61 79 20 32 30 30   Fri, 16 May 200
33 20 31 37 3A 31 34 3A 34 36 20 47 4D 54 0D 0A  3 17:14:46 GMT..
53 65 72 76 65 72 3A 20 41 70 61 63 68 65 2F 31  Server: Apache/1
2E 33 2E 32 36 20 28 55 6E 69 78 29 20 44 65 62  .3.26 (Unix) Deb
69 61 6E 20 47 4E 55 2F 4C 69 6E 75 78 20 6D 6F  ian GNU/Linux mo
64 5F 70 65 72 6C 2F 31 2E 32 36 20 50 48 50 2F  d_perl/1.26 PHP/
34 2E 31 2E 32 0D 0A 43 6F 6E 6E 65 63 74 69 6F  4.1.2..Connectio
6E 3A 20 4B 65 65 70 2D 41 6C 69 76 65 0D 0A 4B  n: Keep-Alive..K
65 65 70 2D 41 6C 69 76 65 3A 20 74 69 6D 65 6F  eep-Alive: timeo
75 74 3D 31 35 0D 0A 45 54 61 67 3A 20 22 61 33  ut=15..ETag: "a3
30 30 35 66 2D 31 35 37 2D 33 63 31 36 30 31 38  005f-157-3c16018
63 22 0D 0A 0D 0A                                c"....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

05/16-19:16:45.544911 0:90:27:5A:44:C2 -> 0:90:1A:40:9:C4 type:0x8864 len:0x4A
80.144.165.5:47925 -> 62.180.126.148:80 TCP TTL:64 TOS:0x0 ID:52309 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xA0CEF20E  Ack: 0x7D32DC65  Win: 0x5780  TcpLen: 32
TCP Options (3) => NOP NOP TS: 8484241 1765635057

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+



===============================================================================
Snort analyzed 120 out of 120 packets, dropping 0(0.000%) packets

Breakdown by protocol:                Action Stats:
    TCP: 120        (100.000%)         ALERTS: 120
    UDP: 0          (0.000%)          LOGGED: 120
   ICMP: 0          (0.000%)          PASSED: 0
    ARP: 0          (0.000%)
  EAPOL: 0          (0.000%)
   IPv6: 0          (0.000%)
    IPX: 0          (0.000%)
  OTHER: 0          (0.000%)
DISCARD: 0          (0.000%)
===============================================================================
TCP Stream Reassembly Stats:
        TCP Packets Used: 120        (100.000%)
         Stream Trackers: 4
          Stream flushes: 0
           Segments used: 0
   Stream4 Memory Faults: 0
===============================================================================
Snort exiting


theoretisch egal wie und was müsste zumindest irgendetwas ähnliches in der tcpdump-logfile sein ...

ich lese das logfile mit "snort -dev -r /var/log/snort/binary*" aus und es erscheint:

Code

===============================================================================

Snort processed 120 packets.
Breakdown by protocol:                Action Stats:

    TCP: 0          (0.000%)          ALERTS: 0
    UDP: 0          (0.000%)          LOGGED: 0
   ICMP: 0          (0.000%)          PASSED: 0
    ARP: 0          (0.000%)
  EAPOL: 0          (0.000%)
   IPv6: 0          (0.000%)
    IPX: 0          (0.000%)
  OTHER: 120        (100.000%)
===============================================================================


nochnicht einmal das Stimmt mit dem oben überein ...

ist das bbei euch auch so ?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: