Erro ao executar o Snort

3

Eu tenho tentado fazer o IDS do snort funcionar, mas estou tendo alguma dificuldade. Quando executo o snort -c /etc/snort/snort.conf -l / var / log / snort, continuo recebendo esse erro.

Inicializando cadeias de regras ... Aviso: /etc/snort/rules/dos.rules(42) => o limite (na regra) está obsoleto; use o detection_filter. ERRO: /etc/snort/rules/community-virus.rules(19) =>! Any não é permitido

Qualquer ajuda seria muito apreciada.

Itchy Nekotorych
fonte

Respostas:

4

Aviso: /etc/snort/rules/dos.rules(42) => o limite (na regra) está obsoleto

Apenas um aviso. Ainda deve funcionar, mas, no futuro, essa regra poderá parar de funcionar como está escrita.

ERRO: /etc/snort/rules/community-virus.rules(19) =>! Any não é permitido

Você tem regras utilizando uma variável que está sendo negada. Em uma nova instalação, isso geralmente é visto quando você falha ao definir um intervalo para $ HOME_NET no seu snort.conf. Por padrão, é definido como:

ipvar HOME_NET any

Portanto, se uma regra usar !$HOME_NET(o que muitas regras de VRT fazem), o snort gera um erro. A resolução pode ser tão simples quanto definir a sub-rede para sua rede doméstica. Por exemplo:

ipvar HOME_NET 192.168.1.1/24

JTS
fonte
0

Você pode colar as seguintes linhas nos seus arquivos de regras? Parece que há problemas nas linhas 42 e 19 (respectivamente).

linhas 30-50 de dos.rules

linhas 10-30 de community-virus.rules

ABashore
fonte