Snort VRT'ye abone oldum ve en yeni kural setini aldım (snortrules-snapshot-2956.tar.gz), ( http://www.snort.org/assets/158/snortinstallguide293.pdf ) kılavuzunu kullanarak kaynağından snort yükledim. Ubuntu için 12.04 LTS.
Snort'un örnek kötü amaçlı istekler konusunda uyarılmadığını öğrendim , örneğin DT .. .. Sonra ETOpen kural setini ekledim ve yukarıdaki istekleri uyarmaya başladı (kıvrım www.testmyids.com, local.rules'ta örnek ping, DNS saldırısı):
04/03-11:32:47.780946 [**] [1:2100498:8] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} X.X.X.X:80 -> Y.Y.Y.Y:44591
04/03-11:47:28.034106 [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} X.X.X.X -> Y.Y.Y.Y
04/03-12:01:12.771472 [**] [1:2016016:6] ET CURRENT_EVENTS DNS Amplification Attack Inbound [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} X.X.X.X:39613 -> Y.Y.Y.Y:53
İlk kez olduğu gibi VRT kullanıyorum (daha önce ET kullandım ve çok iyi çalıştım),
- Bu , yukarıdaki olaylara dikkat etmemek için normal bir davranış mıdır?
- değilse, VRT'nin çalışması için ayarlamam gereken herhangi bir yapılandırma var mı? işte benim snort.conf