Archiv verlassen und diese Seite im Standarddesign anzeigen : snort initialisierung unter suse?
folgender fehler findet sich in
beim startversuch von snort:
Script started on Thu May 24 22:39:412001
[22:39:41][hans@wurst #/sbin/init.d/snort start
Starting snort:
Initializing Network Interface...
ERROR: OpenPcap() interface lookup:
no suitable device found
startproc: exit status of /usr/sbin/snort: 1
fehlt mir libPcap oder hat er meine
Netzwerkkarte(Realtek) nicht erkannt?
>>no ..device found?
bin ratlos...
lh
ps: habe sie extra mit yast2 erkennen lassen.
Versuch' mal, snort normal aufzurufen.
Wenn das klappt modifizierst Du das start-skript entsprechend.
Bei mir tuts ein
snort -c snort.conf -s -i ppp0 -D
Wahrscheinlich wird snort bei Deinem Aufruf die Netzkarte nicht mitgeteilt.
he,
alles klar!
hatte die Netzwerkkarte nur nicht richtig
konfiguriert. (USER-ERROR...sozusagen
:D )
jetzt läufts ...
PS. wegen Snort:
Linuxmag 12/2000 Zitat:
"Ich starte Snort aus /sbin/init.d/snort mit:
snort -u snort -g snort -D -d -b -s -c /etc/snort.conf -l /var/log/snort"
Eine /etc/snort.conf muss man selber anlegen ja?
Hi,
ich habe snort 1.6 und starte mit
Snort -v -i eth0 -c /etc/snort.conf -l /var/log/snort
allerdings klappt das loggen nicht!
ich habe schon "preprozessor ignorehosts HOME_NET" auskommentiert, aber snort
legt nur eine leere Datei portscan.log an.
Loggen nach syslog klappt auch nicht.(-s)
Von der Uni weiss ich allerdings, dass
snort in /var/log/snort ein file
Alert anlegen kann indem die Attacken aufgezeichnet werden.
Was läuft hier falsch?
---------
# $Id: snort-lib,v 1.18 2000/03/17 06:28:01 roesch Exp $
# syslog alert plugin
# format=> plugin_name: syslog_facilities (multiple entries ok)
output alert_syslog: LOG_AUTH LOG_ALERT
# tcpdump format binary logging plugin
# format => plugin_name: output_file_name
#output log_tcpdump: snort.log
# http_decode takes the port numbers that it's going to analyze as arguments
# traffic on these ports will be sent through the http_decode routine for
# normalization
preprocessor http_decode: 80 8080
# minfrag takes the minimum fragment size (in bytes) threshold as its argument
# fragmented packets at of below this size will cause an alert to be generated
preprocessor minfrag: 128
# set the HOME_NET variable for your own network
#var HOME_NET 192.168.80.0/255.255.255.0
var HOME_NET 192.168.10.0/24
# portscan plugin by Patrick Mullen <p_mullen@linuxrc.net>
# This detects UDP packets or TCP SYN packets
# going to seven different ports in less than two seconds.
# "Stealth" TCP packets are always detected, regardless
# of these settings.
preprocessor portscan: $HOME_NET 1 1 /var/log/snort/portscan.log
# ignorehosts is set to ignore TCP SYN and UDP "scans" from
# your home net by default to reduce false alerts. However,
# for maximum benefit it should be tweaked to only include /etc/snort/a
# whitespace-delimited list of only your noisiest servers/hosts.
#preprocessor portscan-ignorehosts: $HOME_NET
include /etc/snort/web-lib
include /etc/snort/overflow-lib
include /etc/snort/misc-lib
include /etc/snort/scan-lib
include /etc/snort/backdoor-lib
##################################
# alert on interesting packets
##################################
# new rules for detection source port traffic
alert tcp any any <-> $HOME_NET any (flags: A; ack: 0; msg:"NMAP TCP Ping!" ;)
alert icmp !$HOME_NET any -> $HOME_NET any (ipopts: lsrr; msg: "Source routed packet" ;)
alert icmp !$HOME_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet" ;)
alert tcp !$HOME_NET any -> $HOME_NET any (ipopts: lsrr; msg: "Source routed packet" ;)
alert tcp !$HOME_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet" ;)
alert udp !$HOME_NET any -> $HOME_NET any (ipopts: lsrr; msg: "Source routed packet" ;)
alert udp !$HOME_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet" ;)
alert tcp any any -> $HOME_NET 6667 (flags: PA; content: "USER "; nocase; offset:0; depth:5; content: " "; offset:11; depth:1; content: " "; offset: 18; depth:1; content: " :"; offset: 26; depth: 2; msg: "PrettyPark activity!" ;)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.