Я новичок в нюхании и мне нужна помощь в одной из настроек.
У меня есть прокси-сервер SOCKS, с помощью которого я могу просматривать интернет на своем ноутбуке.Сейчас я пытаюсь увидеть трафик с помощью фырканья, но он не видит трафика.Я поместил ниже правило, чтобы проверить, посещается ли какой-либо вредоносный сайт.
alert tcp any any -> $HOME_NET any (msg:"Testing malware site"; flow:to_server; content: "/malware.html"; http_uri; sid:5220100; rev:01; classtype:attempted-user;)
Я могу видеть трафик, проходящий через eth0, используя tcpdump.Я захожу на веб-сайт HTTP для этого тестирования, как показано ниже:
http://www.seas.ucla.edu/security/malware.html
Я использую snort, как показано ниже,
snort -i eth0 -c /etc/snort/snort.conf
Может кто-нибудь помочь мне в отладке этой проблемы?