Анализ файла PCAP в Snort не записывает в файл оповещений

Вопрос или проблема

Я использую Snort в своей виртуальной машине Ubuntu 14.04. Вот как я установил Snort.

sudo apt-get update
sudo apt-get install snort

Я не изменял /etc/snort/snort.conf или файл правил. Они остались по умолчанию, и я сделал чтение PCAP, используя следующую команду.

sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap

Файл PCAP успешно прочитан, и был создан файл snort.log, но его размер составляет 0 байт. Когда я установил Snort, в каталоге /var/log/snort не было файла тревог. Поэтому я его создал и дал разрешение на владение для Snort следующим образом.

sudo chown snort.snort alert

После чтения PCAP оба файла snort.log и alert не содержат данных (хотя дата изменения snort.log меняется на дату и время последнего чтения). Их размеры составляют 0 байт. Что я делаю не так?? Мне нужно внести дополнительные изменения в файлы правил/snort.conf?

Похоже, что Snort не записывает журнал тревог при обработке файла PCAP, однако он должен записывать правильный журнал захвата пакетов (например, /var/log/snort/snort.log.1502097194).

Так как он не записывает журнал тревог, вы можете вместо этого настроить Snort для записи сообщений о тревогах в syslog, используя флаг -s (или журнал событий в Windows, используя -E), например:

snort -s -l /var/log/snort/ -r /pcaps/example.pcap -c /etc/snort/snort.conf

После этого вы должны будете увидеть тревоги в syslog, например:

$ sudo tail -f /var/log/messages
Aug  7 09:08:05 snort snort: [1:2101919:23] GPL FTP CWD overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} 142.167.88.44:61383 -> 192.168.5.122:21

В вашем случае, вероятно, файл snort.log не содержит данных, потому что не было сработавших тревог. Вы должны быть в состоянии подтвердить это, просматривая syslog или в сводном отчете позже, например:

Action Stats:
     Alerts:            1 (  5.263%)
     Logged:            1 (  5.263%)
     Passed:            0 (  0.000%)

Ответ или решение

Конечно! Давайте разберемся с вашей проблемой, связанной с анализом PCAP-файлов в Snort.

Судя по вашему описанию, Snort не записывает данные в файл оповещений, что может быть результатом отсутствия срабатываний правил. Вот некоторые шаги, которые помогут вам понять и исправить ситуацию:

Проверка конфигурации и правил: Убедитесь, что вы активировали необходимые правила в файле конфигурации snort.conf. По умолчанию могут быть отключены некоторые правила. Проверьте, что ваши правила настроены правильно и что они не закомментированы. Для этого откройте файл snort.conf и убедитесь, что вы включили нужные правила, например, с помощью директивы include.
Обработка PCAP-файла: Если вы хотите, чтобы Snort обрабатывал пакеты из вашего PCAP-файла и создавал соответствующие оповещения, убедитесь, что PCAP-файл действительно содержит трафик, который соответствует вашим правилам. Вы можете использовать инструмент, такой как Wireshark, чтобы просмотреть содержимое файла и убедиться, что в нем есть трафик, который вызывает срабатывание правил.
Логирование в syslog: Как упомянуто в вашем вопросе, Snort по умолчанию не создает файл оповещений при обработке PCAP-файла. Вы можете использовать параметр -s, чтобы отправлять оповещения в syslog. Вот команда, которую вы можете использовать:
```
sudo /usr/sbin/snort -d -l /var/log/snort -c /etc/snort/snort.conf -r /home/navarathna/Downloads/cap2.pcap -s
```
После обработки PCAP-файла, вы сможете увидеть оповещения в системных журналах. Для этого выполните:
```
sudo tail -f /var/log/syslog
```
или
```
sudo tail -f /var/log/messages
```
Просмотр итогового отчета: После завершения анализа Snort также выводит суммарную статистику с количеством сработавших оповещений и записей. Эти данные позволят вам понять, было ли зафиксировано что-либо из обработанного трафика:
```
Action Stats:
    Alerts:            X
    Logged:            Y
    Passed:            Z
```
Тестирование правил: Вы можете попробовать протестировать свои правила, используя тестовый PCAP, который точно будет генерировать активность, соответствующую вашим правилам, или создать собственный тестовый пакет с помощью утилит вроде hping или scapy.

Если после выполнения всех этих шагов у вас все еще возникают проблемы, обратите внимание на уровень логирования, указанный в snort.conf, и убедитесь, что он установлен на достаточный уровень, чтобы фиксировать необходимые события.

Таким образом, используя эти шаги, вы сможете детально проанализировать, почему Snort не регистрирует оповещения о трафике в вашем PCAP-файле, и внести необходимые корректировки.