Snort… Мощнейшая сиcтема.

почему я в конце вопросительный знак вместо восклицательного поставил - не понял

А в чём, собственно проблема?

1) Не понятно как его заускать. В одной книге сказано, что Snort может работать в трёх режимах: анализатора пакетов, регистратора пакетов и NIDS. У меня - Debian, Snort запускается как демон скриптом /etc/init.d/snort. В каком из трёх перечисленых режимов запускается Snort? Куда нужно лезть чтобы параметры запуска поменять и надо ли их менять вообще?
2) Конфиг /etc/snort/snort.conf изобилует опциями ipvar, portvar, var, config, preprocessor и include. Большинство опций закоментированы. Нужно ли конфиг заменять на свой? Правила и опции в /etc/snort/snort.conf это одно и то же?
3) Нужно, чтобы Snort регистрировал в логе все входящие TCP-пакты, пришедшие с интерфейса wlan0, причём лог писался в удобоваримой форме.
4) Нужно чтобы Snort выявлял атаку TCP SYN flood?

1. Sniffer (анализатор) - snort -v[d[e]] Logger (регистратор) - snort -l ~/.log NIDS - snort -d -l ./log (см док. http://manual.snort.org/ )

2. В документации всё описано. При необходимости регистрировать какие-нибудь дополнительные пакеты, надо удалить комментарии для соответствующих протоколов. Правила для SNORT находятся отдельно отконфигурации в каталоге rules.

3. В конфигурационном файле настраивается не интерфейс, а сеть. По-умолчании логи пишутся в ASCII-формате. Кое-какие SYN-правила имеются в препроцессорах (decoder.rules).

Я после установки ничего не менял. В /var/log/snort пишутся логи с заголовками alert и tcpdump.log. Куда смотреть чтобы понять куда что пишется?

Хотя разобрался, но не совсем. За запись в отдельные логи, syslog или базы данных отвечают модули вывода. Настраиваются они в секции 6 основного конфига «Configure output plugins». там есть строка

output log_tcpdump: tcpdump.log

Re: Нужна помощь по IDS Snort

При запуске snort указывается место LOGDIR (ключ -l). В файле snort.conf указываются имена файлов логов.

А ещё кажется ключ -b определяет в двоичной или в текстовой форме записывать логи. Но я тут в недавней теме пытался разобрать скрипт запуска snort, но shell-скрипты я читаю всё-таки с трудом.

Если мне понадобится изменить параметры запуска snort, что нужно делать, прямо в /etc/init.d/snort изменения вносить или как там в init.d-based дистрибутивах это делается?

Ладно, фиг с ним с запуском, тут про логирование вопрос сейчас общий.

Разобрался немного с основным конфигом /etc/snort/snort.conf, он из 9 секций состоит. В 6 секции модули вывода настраиваются. Я смог сделать, чтобы логи выводились в MySQL, о не всё тут гладко. В лог пишутся только сведения о ICMP-пакетах, а хотелось бы чтобы о всех, особенно интересует TCP-трафик. Как сделать, чтобы Snort писал в лог сведения обо всех пакетах?