моя конфигурация следующая:
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high } \
logfile { alert }
когда я запускаю snort и использую nmap для сканирования, выводим файл журнала следующим образом:
Время: 02 / 23-12: 54: 21.183932
event_ref: 0
[IP-адрес источника] -> [IP-адрес назначения] (portscan) TCP Portscan
Количество приоритетов: 9
Количество подключений: 10
Количество IP: 1
Диапазон IP-адреса сканера: [IP-адрес назначения]: [IP-адрес назначения]
Порт / Прото Количество: 10
Порт / Прото Диапазон: 981: 12174
но доктор фыркнул так:
Время: 09 / 08-15: 07: 31.603880
event_id: 2
192.168.169.3 -> 192.168.169.5 (portscan) Отфильтрованный порт Portscan
Количество приоритетов: 0
Количество подключений: 200
Количество IP: 2
Сканер IP Диапазон: 192.168.169.3:192.168.169.4
Порт / Прото Количество: 200
Порт / Прото Диапазон: 20: 47557
Если на цели есть открытые порты, добавляется один или несколько дополнительных тегированных пакетов:
Time: 09/08-15:07:31.603881
event_ref: 2
192.168.169.3 -> 192.168.169.5 (portscan) Open Port
Open Port: 38458
У меня нет event_id, вместо этого event_ref и его значение 0