[opensuse-es] snort - unix socket alert
Buenos dias lista, me estoy volviendo loco intentando configurar el snort, pero no me acaba de fucionar, espero que alguno me podais ayudar. He instalado el snort-2.6.1.3 (descargado de su página) sobre una openSuSE 10.2 32 bits, quiero que las alarmas las saque por un socket tal como he leido en la documentación que se puede hacer, para cogerlo luego desde otro programa y tratarlo, pero no lo consigo. Creo un socket y escucho, y si recibo algo (una cadena de texto con la alerta, pero nada más, ni direcciones ni nada), pero se ve que lo que recibo es una estructura que desconozco, bueno, la he encontrado definida en otro archivo como: typedef struct _Alertpkt { u_int8_t alertmsg[ALERTMSG_LENGTH]; /* variable.. */ struct pcap_pkthdr pkth; u_int32_t dlthdr; /* datalink header offset. (ethernet, etc.. ) */ u_int32_t nethdr; /* network header offset. (ip etc...) */ u_int32_t transhdr; /* transport header offset (tcp/udp/icmp ..) */ u_int32_t data; u_int32_t val; /* which fields are valid. (NULL could be * valids also) * */ /* Packet struct --> was null */ #define NOPACKET_STRUCT 0x1 /* no transport headers in packet */ #define NO_TRANSHDR 0x2 u_int8_t pkt[SNAPLEN]; Event event; } Alertpkt; Pero esto a su vez hace referencia a otras variables y estructuras y me acabo perdiendo. Supongo que sin declarar todos los campos de la estructura no podré leerlo. He intentado compilar el ejemplo que viene en /doc/README.UNSOCK, pero me va pidiendo un montón de cabeceras del snort, para que al final tampoco compile. Supongo que esto no debería ser difícil de hacer... lo habeis conseguido alguno?? Gracias, Saludos, Enrique --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 13/04/2007 14:59:18 Enrique escribió: ejuafer> He intentado compilar el ejemplo que viene en /doc/README.UNSOCK, pero me va ejuafer> pidiendo un montón de cabeceras del snort, para que al final tampoco compile. ejuafer> Supongo que esto no debería ser difícil de hacer... lo habeis conseguido ejuafer> alguno?? Y no las puedes leer de /var/log/messages ? Snort escribe ahí los mensajes con la etiqueta [snort] Adicionalmente en /var/log/snort también se crea un registro por IP -- Saludos, Josep M. Queralt
Al final lo he conseguido, no se como lo tienen así, pero he tenido que ir copiando multiples archivos de diferentes carpetas del snort y añadir un par de includes al ejemplo y parece que funciona.
Y no las puedes leer de /var/log/messages ?
Me parece más limpio, además de sacarlo por el syslog, crear un programa que dé respuesta rápida a determinador mensajes a través de un socket. Muchas gracias de todas formas, Saludos, Enrique --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-04-13 a las 17:38 +0200, Josep M. Queralt escribió:
Y no las puedes leer de /var/log/messages ?
Para eso se hace que el syslog lo mande a otro fichero separado.
Snort escribe ahí los mensajes con la etiqueta [snort]
Adicionalmente en /var/log/snort también se crea un registro por IP
O a una base de datos mysql. Tiene muchos tipos de salida especializada según las necesidades. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGH7oEtTMYHG2NR9URAmgkAJ0e6On/nx6EBt47Sfv6wooa4tScMwCfUhYf f4pOXzriiWN5Ll69xINrwDc= =uZoU -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-04-13 a las 14:59 +0200, Enrique escribió:
me estoy volviendo loco intentando configurar el snort, pero no me acaba de fucionar, espero que alguno me podais ayudar.
He instalado el snort-2.6.1.3 (descargado de su página) sobre una openSuSE 10.2 32 bits,
¿Y porqué te complicas la vida si ya viene en un rpm en la distro? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGH7mrtTMYHG2NR9URAtPkAJ95fwXXH+k2NfGH6rof7e9oIO9PpgCfbyAD 4LJhP5UbuuOgNs1N4/QhKWs= =TVff -----END PGP SIGNATURE-----
¿Y porqué te complicas la vida si ya viene en un rpm en la distro?
No se, manías que tiene uno, cuando quiero que algo simplemente funcione uso el rpm, si lo que quiero es aprender a usar bien el programa me suele gustar más pegarme un poco con él y empezar desde el principio, conociendo las opciones de compilación y sabiendo todo lo que puedo toquetear. En fin, no se, serán tonterías y manías mias. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Carlos E. R.
-
Enrique
-
Josep M. Queralt