я делаю что-то не так с моим IDS snort.conf? Не удалось обнаружить сканирование Nmap и DOS в других IP

Question

У меня есть некоторые проблемы с использованием Snort здесь. У меня есть некоторые топологии , которые работают под GNS3 для моего исследования. Я пытаюсь провести тестирование на проникновение в мою топологию с IDS Snort в Windows 7, используя NMAP (сканирование) и hping3 (TCP-синхронизация потока). Когда я пытаюсь отсканировать и получить IP-адрес моего сервера IDS (192.168.10.4), появляется предупреждение. Но когда я пытаюсь провести тестирование на проникновение до IP-адреса пользователя 2 (192.168.10.2), он не выглядит бдительным Что-то не так с моим snort.conf в Windows 7?

Нажмите здесь «My Snort Config»

Я пытаюсь поменять свой ipvar HOME_NET, но все же, безуспешно, когда я пытаюсь протестировать

ipvar HOME_NET 192.168.10.0/24

изменить на

ipvar HOME_NET 192.168.10.1/24,192.168.10.2/24,192.168.10.3/24,192.168.10.4/24,192.168.10.5/24

Я ожидаю, что когда я попытаюсь провести тестирование на проникновение в других IP, за исключением моего сервера IDS. это тоже дало бы мне сигнал ...

Answer 1

@ Ханиф. Я полагаю, что нужно задать вопрос: где вы хотите установить датчики фырканья и каковы ваши желаемые результаты?Некоторое понимание с начала 2000-х годов.http://www.informit.com/articles/article.aspx?p=21778&seqNum=9

Мне кажется, что вы установили IDS на своем собственном хосте, и вы ожидаете, что он покроет остальные три, а также два хоста с запущенными окнами.Вы хотите "проверить" компьютеры Windows и посмотреть, что показывают предупреждения IDS для таких атак.

Я бы настоятельно рекомендовал вам установить snort на двух хостах Windows и объединить все предупреждения в нечто вроде Elasticsearch.Дальнейшее направление для вас здесь: https://blog.snort.org/2017/11/snort-30-with-elasticsearch-logstash.html