Snort löst keinen Alarm von der Schnittstelle eth0 aus

447
Pumphouse

Ich habe auf einem Himbeer-Pi, der ein modifiziertes Ubuntu ausführt, ein Schnupfen eingerichtet. Zwischen meinem Modem und dem Router habe ich einen Switch, der den gesamten Verkehr zu einem Port spiegelt, der mit der eth0-Schnittstelle auf meinem Himbeer-Pi verbunden ist.

Auf meinem Himbeer-Pi habe ich eth0, das mit dem Wasserhahn verbunden ist, und eine drahtlose Schnittstelle, die mit meinem Heimnetzwerk verbunden ist.

Wenn ich unten von der Befehlszeile aus auf meinem Pi ausführe und von meinem Rechner aus ein Ping aus dem Netzwerk ankomme, wird die folgende Regel ausgelöst

sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0  alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Wenn ich jedoch eine Website von einem Computer in meinem Netzwerk aus anrufe oder eine Website anpinge, kann ich über eth0 keine Warnung auf dem pi auslösen. Bisher konnte ich keinen Alarm von der Ethernet-Schnittstelle auslösen.

sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i wlan0  alert tcp any any -> $HOME_NET any (msg:"Alert This Message"; sid:10000002; rev:002;)

Laufen ifconfig -agibt mir

eth0 blah  blah UP BROADCAST RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:165909 errors:0 dropped:0 overruns:0 frame:0 TX packets:230 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000  RX bytes:8747971 (8.7 MB) TX bytes:78700 (78.7 KB)

Das lässt mich glauben, dass es nicht der Switch ist, da er mir zeigt, wie Pakete empfangen werden.

Ich bin mir nicht sicher, welche anderen Informationen ich geben kann, aber ich würde mich über einige Techniken zur Fehlersuche freuen.

0
Ist der Promiscuous-Modus auf der NIC aktiviert? Ohne sie verwerfen Netzwerkkarten normalerweise alles, was nicht für sie bestimmt ist. Ouroborus vor 8 Jahren 0
Ouroborus ging es nicht. Ich habe es immer noch ohne Glück eingeschaltet. Wenn ich netstat -i bekomme ich eth0 ..... BMPORU Pumphouse vor 8 Jahren 0
Ich habe es neu gestartet und es werden immer noch keine Warnungen ausgelöst Pumphouse vor 8 Jahren 0
Die einzige andere Sache, die ich mir vorstellen kann, ist, dass Heimrouter normalerweise eine Funktion haben, die den drahtgebundenen und den drahtlosen Verkehr voneinander trennt. (Dies kann normalerweise deaktiviert werden.) Ouroborus vor 8 Jahren 0
@Ouroborus Ich werde mich damit herumspielen. Ich schätze die hilfe Pumphouse vor 8 Jahren 0

1 Antwort auf die Frage

0
Pumphouse

Ich fühle mich verlegen, aber es ging darum, wie ich die Variable HOME_NET definiert habe. Da sich mein Tipp vor dem Router befindet, war das lokale Netz ungenau.

Verwandte Probleme