Ich versuche, problematische Benutzer in unserem Netzwerk zu identifizieren. ntop identifiziert Benutzer mit hohem Datenverkehr und hoher Verbindung, aber Malware benötigt nicht immer eine hohe Bandbreite, um die Dinge wirklich durcheinander zu bringen. Ich versuche also, eine Offline-Analyse mit Snort durchzuführen (ich möchte den Router nicht mit einer Inline-Analyse des 20-Mbit / s-Verkehrs belasten). Anscheinend bietet snort eine -r
Option für diesen Zweck, aber ich kann die Analyse nicht zum Laufen bringen.
Das Analysesystem ist gentoo, amd64, falls dies einen Unterschied macht. Ich habe bereits oinkmaster verwendet, um die neuesten IDS-Signaturen herunterzuladen. Wenn ich jedoch versuche, snort auszuführen, wird immer wieder der folgende Fehler angezeigt:
% snort -V
,,_ -*> Snort! <*-
o" )~ Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.11 2010-12-10
Using ZLIB version: 1.2.5
%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/
(schnipsen)
273 out of 1024 flowbits in use.
[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format : Full-Q
| Finite Automaton : DFA
| Alphabet Size : 256 Chars
| Sizeof State : Variable (1,2,4 bytes)
| Instances : 314
| 1 byte states : 304
| 2 byte states : 10
| 4 byte states : 0
| Characters : 69371
| States : 58631
| Transitions : 3471623
| State Density : 23.1%
| Patterns : 3020
| Match States : 2934
| Memory (MB) : 29.66
| Patterns : 0.36
| Match Lists : 0.77
| DFA
| 1 byte states : 1.37
| 2 byte states : 26.59
| 4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..
net-libs / daq ist installiert, aber ich möchte nicht einmal den Datenverkehr erfassen, sondern nur die Erfassungsdatei verarbeiten.
Welche Konfigurationsoptionen sollte ich einstellen / deaktivieren, um eine Offline-Analyse anstelle einer Echtzeiterfassung durchzuführen?
pcap
,afpacket
,dump
,ipv6
). Und die Dateien, in/usr/lib64
denen dieser Thread als fehlend gemeldet wurde, sind auf meinem System vorhanden. Ich vermute also, dass mein Fehler eine andere Ursache hat.Ich mache immer das:
Erstellen Sie eine virtuelle Netzwerkkarte
Ich habe dies in ein Bash-Skript eingefügt, um es ausführbar zu machen (chmod + x script.sh) und es auszuführen:
Wiederholen Sie den Verkehr
Holen Sie sich
tcpreplay
und tun Sie:Erfassen Sie den Verkehr
Schnauben schnüffeln lassen:
quelle