Snort: установка max_queue на 1‏

Я использую фырканье. Я хочу сообщить только об одном правиле, совпавшем с пакетом. Например, если пакет соответствует нескольким правилам, он должен сообщать или регистрировать только одно правило, которому он соответствует. Насколько я понимаю до сих пор, вам нужно внести изменения в файл snort.conf. Я изменил эту строку snort.conf

config event_queue: max_queue 8 log 3 order_events content_length

с

config event_queue: max_queue 1 log 1 order_events content_length

и сохраните этот файл.

Но теперь, когда я запускаю файл pcap, он снова сообщает о нескольких совпадениях с одним пакетом.

Что еще мне нужно сделать, чтобы сделать эту работу?

После внесения изменений в snort.conf

Я сделал это:

snort restart

но это дало мне эту ошибку:

Не удается увидеть фильтр DAQ BPF для «перезапуска»


packet-sniffers packet-capture snort
person Xara    schedule 23.05.2014    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Конфигурация:

конфигурация event_queue: max_queue 1 журнал 1

должно быть все, что вам нужно. Если он по-прежнему регистрирует более 1 события на пакет/поток, тогда snort не перезапускается с новой конфигурацией.

«snort restart» — неправильный способ перезапуска snort. Вы запускаете snort в режиме демона? В зависимости от того, какую ОС вы используете, вам нужно перезапустить демон или убить процесс snort и запустить его снова, чтобы он мог подобрать новый файл snort.conf. Обычно для перезапуска демона snort достаточно выполнить команду:

sudo /etc/init.d/snortd перезапустить

Но опять же, это зависит от ОС.

Если вы не используете snort в режиме демона, вам просто нужно убить процесс и запустить его снова. Вы можете запустить «pgrep snort», чтобы получить pid snort. Если вы не помните параметры, с которыми вы запустили snort, вы можете запустить «ps auxwww |grep snort», и это должно вернуть команду, которую вы использовали для запуска snort. Затем вы можете убить pid и снова запустить ту же команду. Надеюсь это поможет.

person johnjg12    schedule 28.05.2014