Snort 2.9.7 + Ubuntu Desktop 16.04
Snort 2.9.7 + Ubuntu Server 16.04
Все новое установлено и обновлено, и оба запускают простой скрипт, скрипт просто отправляет сообщение ("snort трудно использовать") 192.168.223.2 каждую секунду
Вот мой local.rules, всего одна строка:
оповещение tcp любой любой -> 192.168.223.2 1234 (msg:"To 192.168.223.2:1234"; sid:0;)
Вот команда:
sudo snort -c /etc/snort/rules/local.rules -A console -i ens33
Обе системы могли поймать посылку. НО вместо этого используйте правило следования:
alert tcp any any -> 192.168.223.2 1234 (msg:"To 192.168.223.2:1234"; sid:0; content:"snort";)
Рабочий стол не может поймать какой-либо пакет, но серверный в порядке.
С опцией -vd для snort «фыркать трудно использовать» будет напечатано в обеих консолях, и только серверная ОС может поймать пакет, настольная ОС ничего не поймает.
Если без параметра «контент» правила, ОС сервера все еще в порядке, ОС рабочего стола поймала неправильные пакеты, см. рис.:
1: сервер, 2: неправильный пакет рабочего стола будет перехвачен, 3: целевой пакет будет передан
Я пробовал vmware, vbox и реальный компьютер с версией Ubuntu Desktop, все не работает.
Помогите, пожалуйста, разобраться в проблеме, спасибо.
