Schnupfenanalyse der Wireshark-Erfassung

7

Ich versuche, problematische Benutzer in unserem Netzwerk zu identifizieren. ntop identifiziert Benutzer mit hohem Datenverkehr und hoher Verbindung, aber Malware benötigt nicht immer eine hohe Bandbreite, um die Dinge wirklich durcheinander zu bringen. Ich versuche also, eine Offline-Analyse mit Snort durchzuführen (ich möchte den Router nicht mit einer Inline-Analyse des 20-Mbit / s-Verkehrs belasten). Anscheinend bietet snort eine -rOption für diesen Zweck, aber ich kann die Analyse nicht zum Laufen bringen.

Das Analysesystem ist gentoo, amd64, falls dies einen Unterschied macht. Ich habe bereits oinkmaster verwendet, um die neuesten IDS-Signaturen herunterzuladen. Wenn ich jedoch versuche, snort auszuführen, wird immer wieder der folgende Fehler angezeigt:

% snort -V

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2010 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.11 2010-12-10
           Using ZLIB version: 1.2.5

%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/

(schnipsen)

273 out of 1024 flowbits in use.

[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 314
|     1 byte states : 304
|     2 byte states : 10
|     4 byte states : 0
| Characters        : 69371
| States            : 58631
| Transitions       : 3471623
| State Density     : 23.1%
| Patterns          : 3020
| Match States      : 2934
| Memory (MB)       : 29.66
|   Patterns        : 0.36
|   Match Lists     : 0.77
|   DFA
|     1 byte states : 1.37
|     2 byte states : 26.59
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

net-libs / daq ist installiert, aber ich möchte nicht einmal den Datenverkehr erfassen, sondern nur die Erfassungsdatei verarbeiten.

Welche Konfigurationsoptionen sollte ich einstellen / deaktivieren, um eine Offline-Analyse anstelle einer Echtzeiterfassung durchzuführen?

Ben Voigt
quelle

Antworten:

1

Ich kenne Gentoo nicht speziell, aber Sie können versuchen, mit dem Flag "--daq-list" zu sehen, welche (wenn überhaupt) DAQ-Module Snort sieht.

z.B:

# snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv

Verwenden Sie dann das Flag "--daq-dir", um Snort auf das Verzeichnis zu verweisen, das die DAQ-Bibliotheken enthält.

snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/ --daq-dir /usr/local/lib/daq/
Brandon
quelle
0

Ich bin nicht ganz sicher, was das Update ist, aber es kann mit den USE-Flags zusammenhängen, die zum Kompilieren von Snort angegeben wurden. Dies wird im folgenden POST berichtet. Der Post enthält meiner Meinung nach auch eine vorübergehende Lösung.

Ich würde vorschlagen, eine andere Distribution / Windows zu verwenden oder in den Gentoo-Foren nach Build-Problemen mit Snort zu fragen.

cwheeler33
quelle
Leider würde ich schon gesehen , dass Gewinde und net-libs / daq mit allen USE - Flags gebaut wird ( pcap, afpacket, dump, ipv6). Und die Dateien, in /usr/lib64denen dieser Thread als fehlend gemeldet wurde, sind auf meinem System vorhanden. Ich vermute also, dass mein Fehler eine andere Ursache hat.
Ben Voigt
Ich habe seit mehr als 5 Jahren nicht mehr mit Gentoo gespielt. Ich bin ein bisschen verrostet, aber es sieht wirklich so aus, als hätte das Problem mit dem Build-Prozess zu tun. Möglicherweise befindet sich etwas in einer conf-Datei. Um dies zu bestätigen, verwenden Sie eine andere Distribution oder holen Sie sich spezielle Hilfe aus den Gentoo-Foren.
cwheeler33
0

Ich mache immer das:

  1. Erstellen Sie eine virtuelle Netzwerkkarte eth10
  2. Wiederholen Sie den Datenverkehr auf eth10
  3. Erfassen Sie den Datenverkehr auf eth10

Erstellen Sie eine virtuelle Netzwerkkarte

Ich habe dies in ein Bash-Skript eingefügt, um es ausführbar zu machen (chmod + x script.sh) und es auszuführen:

#!/usr/bin/env bash

modprobe dummy
lsmod | grep dummy
ip link set name eth10 dev dummy0
ip link show eth10
ifconfig eth10 hw ether 00:22:22:ff:ff:ff
ip link show eth10
ip addr add 192.168.100.199/24 brd + dev eth10 label eth10:0
ifconfig eth10 up
ifconfig eth10 promisc

Wiederholen Sie den Verkehr

Holen Sie sich tcpreplayund tun Sie:

sudo tcpreplay -i eth10 -T nano mypcap.pcap

Erfassen Sie den Verkehr

Schnauben schnüffeln lassen:

sudo snort -i eth10 -u snort -g snort -c /etc/snort/snort.conf
Jan.
quelle