Problema con snort

Life bringer · 31-03-2008, 22:02

Salve a tutti, uso debian lenny, ho installato snort, l'ho configurato, direi correttamente, tanto che si avvia dando il comando /etc/init.d/snort start il programma si avvia, il problema è che dopo l'avvio, la console rimane bloccata e l'ultima riga di testo è: Not Using PCAP_FRAMES
E vi sono anche i seguenti warning, per i quali non ho trovato rimedio:
Verifying Preprocessor Configurations!
Warning: flowbits key 'community_uri.size.1050' is set but not ever checked.
Warning: flowbits key 'smb.tree.create.llsrpc' is set but not ever checked.
Warning: flowbits key 'ms_sql_seen_dns' is checked but not ever set.
Warning: flowbits key 'realplayer.playlist' is checked but not ever set.
37 out of 512 flowbits in use.

Il programma rimane in esecuzione, il problema è la console bloccata, l'unico rimedio è dare il comando ctrl-c che ovviamente comporta lo stop dell'applicazione.

Come posso risolvere?

Life bringer · 01-04-2008, 12:46

uppo, ho purtroppo una certa urgenza perchè stando cosi le cose non posso nemmeno riavviare, visto che al boot si blocca all'avvio di snort.
Grazie

Life bringer · 02-04-2008, 12:45

up

vampirodolce1 · 02-04-2008, 13:10

Sbaglio o snort rimane sempre in primo piano, salvo usare l'opzione -D (daemon mode)?

Life bringer · 02-04-2008, 13:14

Quote:

Originariamente inviato da vampirodolce1

Sbaglio o snort rimane sempre in primo piano, salvo usare l'opzione -D (daemon mode)?

Probabilmente è come dici, solo che anche quando parte al boot, poi rimane li, come piantato... per quello non riesco a capire...
Salvo premere control c e allora esce facendo un resoconto dei pacchetti analizzati

vampirodolce1 · 02-04-2008, 13:47

Ti manca l'opzione -D. Dalla pagina man di snort:
-D: Run Snort in daemon mode. Alerts are sent to /var/log/snort/alert unless otherwise specified.

Non avviarlo tramite init.d, fatti uno script che esegui in fase di avvio, in modo da poter passare a snort le opzioni aggiuntive. Io ad esempio ho creato un piccolo file che mi avvia l'IDS con la sintassi:
/usr/local/bin/snort -I -l /var/log/snort/ -i any -de -c /etc/snort/snort.conf -g snort -u snort -m 027 -D -q

Come detto, in rc2.d (o il tuo runlevel di default) fai in modo che il link relativo a snort inizi per K e non per S.

Le altre opzioni che ho usato sono:
-I: Print out the receiving interface name in alerts.
-l log-dir: set the output logging directory to log-dir. All plain text alerts and packet logs go into this directory. If this option is not specified, the default logging directory is set to /var/log/snort.
-i interface: sniff packets on interface.
-d: dump the application layer data when displaying packets in verbose or packet logging mode.
-e: display/log the link layer packet headers.
-c config-file: use the rules located in file config-file.
-g group: change the group/GID Snort runs under to group after initialization.
-u user: change the user/UID Snort runs under to user after initialization.
-m umask: set the file mode creation mask to umask
-q: quiet operation. Don't display banner and initialization information.

Ti consiglio un buon libro su snort, non i tutorial da 4 soldi che trovi su internet.

Life bringer · 02-04-2008, 14:07

Quote:

Originariamente inviato da vampirodolce1

Ti manca l'opzione -D. Dalla pagina man di snort:
-D: Run Snort in daemon mode. Alerts are sent to /var/log/snort/alert unless otherwise specified.

Non avviarlo tramite init.d, fatti uno script che esegui in fase di avvio, in modo da poter passare a snort le opzioni aggiuntive. Io ad esempio ho creato un piccolo file che mi avvia l'IDS con la sintassi:
/usr/local/bin/snort -I -l /var/log/snort/ -i any -de -c /etc/snort/snort.conf -g snort -u snort -m 027 -D -q

Come detto, in rc2.d (o il tuo runlevel di default) fai in modo che il link relativo a snort inizi per K e non per S.

Le altre opzioni che ho usato sono:
-I: Print out the receiving interface name in alerts.
-l log-dir: set the output logging directory to log-dir. All plain text alerts and packet logs go into this directory. If this option is not specified, the default logging directory is set to /var/log/snort.
-i interface: sniff packets on interface.
-d: dump the application layer data when displaying packets in verbose or packet logging mode.
-e: display/log the link layer packet headers.
-c config-file: use the rules located in file config-file.
-g group: change the group/GID Snort runs under to group after initialization.
-u user: change the user/UID Snort runs under to user after initialization.
-m umask: set the file mode creation mask to umask
-q: quiet operation. Don't display banner and initialization information.

Ti consiglio un buon libro su snort, non i tutorial da 4 soldi che trovi su internet.

Uhm, però io uso snort-mysql, non lo snort che logga su syslog, un'altra cosa, tramite apt-get ogni comando che digito tenta di configurarlo, con il risultato che si pianta, secondo me c'è qualcosa che non quadra, se non riesco a configurarlo sarò costretto a farlo fuori...

vampirodolce1 · 02-04-2008, 14:22

Il tuo pacchetto logga nel database, per il resto e' uguale.
Per la seconda domanda, o dai un dpkg-reconfigure ... oppure usa il mio sistema, disabilita l'avvio automatico in rc2.d/ e fai tutto manualmente, indicando tu il file di configurazione e le opzioni che vuoi... non avrai alcun problema.

Life bringer · 02-04-2008, 14:27

Quote:

Originariamente inviato da vampirodolce1

Il tuo pacchetto logga nel database, per il resto e' uguale.
Per la seconda domanda, o dai un dpkg-reconfigure ... oppure usa il mio sistema, disabilita l'avvio automatico in rc2.d/ e fai tutto manualmente, indicando tu il file di configurazione e le opzioni che vuoi... non avrai alcun problema.

Il problema è che dando reconfigure snort parte, fa le varie schermate e poi si blocca al solito punto

vampirodolce1 · 02-04-2008, 14:54

Disabilita l'avvio automatico in rc2.d e crea tu la linea di comando contenente l'opzione -D.
Snort non si blocca, semplicemente resta attivo in primo piano.

Life bringer · 02-04-2008, 15:49

Quote:

Originariamente inviato da vampirodolce1

Disabilita l'avvio automatico in rc2.d e crea tu la linea di comando contenente l'opzione -D.
Snort non si blocca, semplicemente resta attivo in primo piano.

Grazie, ho risolto, ora sto litigando con Base e la libreria adodb!

31-03-2008, 22:02	#1
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8429	Problema con snort Salve a tutti, uso debian lenny, ho installato snort, l'ho configurato, direi correttamente, tanto che si avvia dando il comando /etc/init.d/snort start il programma si avvia, il problema è che dopo l'avvio, la console rimane bloccata e l'ultima riga di testo è: Not Using PCAP_FRAMES E vi sono anche i seguenti warning, per i quali non ho trovato rimedio: Verifying Preprocessor Configurations! Warning: flowbits key 'community_uri.size.1050' is set but not ever checked. Warning: flowbits key 'smb.tree.create.llsrpc' is set but not ever checked. Warning: flowbits key 'ms_sql_seen_dns' is checked but not ever set. Warning: flowbits key 'realplayer.playlist' is checked but not ever set. 37 out of 512 flowbits in use. Il programma rimane in esecuzione, il problema è la console bloccata, l'unico rimedio è dare il comando ctrl-c che ovviamente comporta lo stop dell'applicazione. Come posso risolvere? __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

01-04-2008, 12:46	#2
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8429	uppo, ho purtroppo una certa urgenza perchè stando cosi le cose non posso nemmeno riavviare, visto che al boot si blocca all'avvio di snort. Grazie __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

02-04-2008, 12:45	#3
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8429	up __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

02-04-2008, 13:10	#4
vampirodolce1 Senior Member Iscritto dal: Jul 2006 Messaggi: 1175	Sbaglio o snort rimane sempre in primo piano, salvo usare l'opzione -D (daemon mode)? __________________ Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi

02-04-2008, 13:47	#6
vampirodolce1 Senior Member Iscritto dal: Jul 2006 Messaggi: 1175	Ti manca l'opzione -D. Dalla pagina man di snort: -D: Run Snort in daemon mode. Alerts are sent to /var/log/snort/alert unless otherwise specified. Non avviarlo tramite init.d, fatti uno script che esegui in fase di avvio, in modo da poter passare a snort le opzioni aggiuntive. Io ad esempio ho creato un piccolo file che mi avvia l'IDS con la sintassi: /usr/local/bin/snort -I -l /var/log/snort/ -i any -de -c /etc/snort/snort.conf -g snort -u snort -m 027 -D -q Come detto, in rc2.d (o il tuo runlevel di default) fai in modo che il link relativo a snort inizi per K e non per S. Le altre opzioni che ho usato sono: -I: Print out the receiving interface name in alerts. -l log-dir: set the output logging directory to log-dir. All plain text alerts and packet logs go into this directory. If this option is not specified, the default logging directory is set to /var/log/snort. -i interface: sniff packets on interface. -d: dump the application layer data when displaying packets in verbose or packet logging mode. -e: display/log the link layer packet headers. -c config-file: use the rules located in file config-file. -g group: change the group/GID Snort runs under to group after initialization. -u user: change the user/UID Snort runs under to user after initialization. -m umask: set the file mode creation mask to umask -q: quiet operation. Don't display banner and initialization information. Ti consiglio un buon libro su snort, non i tutorial da 4 soldi che trovi su internet. __________________ Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi

02-04-2008, 14:22	#8
vampirodolce1 Senior Member Iscritto dal: Jul 2006 Messaggi: 1175	Il tuo pacchetto logga nel database, per il resto e' uguale. Per la seconda domanda, o dai un dpkg-reconfigure ... oppure usa il mio sistema, disabilita l'avvio automatico in rc2.d/ e fai tutto manualmente, indicando tu il file di configurazione e le opzioni che vuoi... non avrai alcun problema. __________________ Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi

02-04-2008, 14:54	#10
vampirodolce1 Senior Member Iscritto dal: Jul 2006 Messaggi: 1175	Disabilita l'avvio automatico in rc2.d e crea tu la linea di comando contenente l'opzione -D. Snort non si blocca, semplicemente resta attivo in primo piano. __________________ Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi

Strumenti
Mostra una versione stampabile Invia questa pagina per email