ThaiCERT: Thai Computer Emergency Response Team
ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย 		  
 
 

ชื่อเรื่อง : คำถามถามบ่อยเกี่ยวกับ Snort
ที่มา : http://www.snort.org
เรียบเรียงโดย : ภูวดล ด่านระหาญ
เรียบเรียงเมื่อ : 16 สิงหาคม 2544

Snort Background

Getting Started

Configuration Snort

Rules and Alerts

Getting Fancy

Problem

 

Snort Background
Q: สถานที่ที่สามารถขอความช่วยเหลือได้ในยามที่ต้องการคำแนะนำเกี่ยวกับ Snort คือ
A: http://lists.sourceforge.net/mailman/listinfo/Snort-users

Q: Snort สนับสนุน IP Fragmentation หรือไม่
A: ใช่ Snort สนับสนุน IP Fragmentation โดยใช้ "preprocessor defrag" และยังสามารถตั้งค่า minfrag ไว้ เพื่อ alert ได้ ในกรณีที่มี frament packet ที่มีขาดเล็กกว่าที่ระบุไว้ใน minfrag

Q: Snort สนับสนุนการทำ TCP stream reassembly หรือไม่
A: ใช่ Snort สนับสนุนการทำ TCP stream reassembly โปรดดูรายละเอียดในส่วนของ stream4 preprocessor และ stream4 faq

Q: Snort สนับสนุนการทำงานในลักษณะ stateful หรือไม่
A: ใช่ โปรดดูรายละเอียดในส่วนของ stream4 preprocessor

Q: ในกรณีที่ใช้ switch network สามารถใช้งาน Snort ได้หรือไม่
A: ขึ้นอยู่กับ switch ที่คุณเลือกใช้ ถ้า switch สนับสนุนการทำ mirror traffic ก็สามารถใช้งาน Snort ได้

Q: เคยได้ยินมาว่า IDS ส่วนใหญ่มักจะสร้าง false alert
A: ในกรณีที่ enable stream4 preprocessor ก็เป็นไปได้ที่จะมี false alert จำนวนมาก

Q: Snort เก็บข้อมูลล็อกของ packet ที่ Snort ได้ alert ไว้แบบสมบูรณ์หรือไม่
A: ใช่ Snort เก็บข้อมูลแบบ full log ของ packet นั้นๆ

 

Getting Started
Q: คำสั่งในการรัน Snort เป็นอย่างไร
A: ท่านสามารถทดลองรัน Snort ใน sniffer mode เพื่อให้มั่นใจว่าสามารถมองเห็น packet ที่ต้องการตรวจจับได้ (snort -dvi eth0) และหลังจากนั้น ท่านควรแก้ไขค่า HOME_NET ในไฟล์ snort.conf เพื่อรัน Snort แบบง่ายๆ ดูก่อนได้ เช่น snort -Afull -c snort.conf (หลังจากนั้น ท่านอาจจะต้องตรวจสอบว่า interface นั้น อยู่ใน promiscuous mode หรือไม่ ด้วยการใช้คำสั่ง ifconfig -a)

Q: ปกติ Snort เก็บข้อมูลล็อกไว้ที่ใหน และมีชื่ออะไรบ้าง
A: ใน command line ท่านสามารถระบุโฟลเดอร์ที่ท่านต้องการให้เก็บล็อกไว้ได้ โดยการใช้ option -l folder หรือถ้าไม่ระบุเป็นพิเศษก็จะเก็บไว้ที่ /var/log/snort โดยจะเก็บข้อมูลในชื่อไฟล์ snort.alert (ในเวอร์ชั่นก่อนๆ + daemon mode) หรือ alert(ในเวอร์ชั่นปัจจุบัน + daemon mode)

Q: ควรจะวางเครื่อง snort ไว้ในตำแหน่งใดของเครือข่ายดี
A: กรณีนี้ขึ้นอยู่กับนโยบายเครือข่ายขององกรค์ของคุณเอง และคุณสามารถตัดสินใจได้ว่าจะวางไว้ก่อนหรือหลัง firewall ก็ได้ การวาง Snort ไว้หน้า firewall นั้นจะช่วยให้คุณตรวจจับ packet ได้ทุกอันที่พยายามส่งมายังเครือข่ายของคุณ แต่คุณก็ต้องเจอล็อกที่ค่อนข้างมากอย่างแน่นอน ส่วนการวาง Snort ไว้หลัง firewall นั้น จะช่วยให้เราพิจารณาเฉพาะ packet ที่ผ่าน firewall มาแล้วเท่านั้น ทั้งนี้คุณอาจจะพิจารณาติดตั้งไว้ทั้งสองจุดเลยก็ได้

Q: มีปัญหาเมื่อรัน Snort จะพบข้อผิดพลาดของ Libpcab
A: อาจจะเกิดขึ้นเนื่องจากคุณไม่ได้รัน Snort ในฐานะ root หรือ kernel ของคุณถูกติดตั้งไว้ไม่ถูกต้อง

Q: ทำใม Snort แจ้งข้อผิดพลาดเกี่ยวกับ /var/log/snort
A: คุณต้องสร้างโฟลเดอร์ /var/log/snort ขึ้นมาก่อนที่จะรัน Snort (mkdir /var/log/snort) ในครั้งแรก

Q: ใช้ Red Hat อยู่และมีปัญหา
A: ให้ตรวจสอบว่า Libpcab ที่คุณใช้อยู่เวอร์ชั่นสูงกว่าเท่ากับ 0.5 ถ้าต่ำกว่าคุณควร upgrade

Q: สามารถดาวน์โหลด Libpcab เวอร์ชั่นล่าสุดได้ที่ใหน
A: http://www.tcpdump.org

Q: ทำใม Snort แจ้งข้อผิดพลาดเกี่ยวกับ missing references
A: ให้ติดตั้ง libpcab ด้วย option --install-incl หรือติดตั้ง libpcab-devel ตัวที่เป็น rpm

Q: ไม่สามารถติดตั้ง Snort ได้ มันแจ้งข้อผิดพลาดเกี่ยวกับ yylex และ lex_init
A: ต้องติดตั้ง lex และ yacc

Q: Snort สามารถรองรับเครือข่ายที่มี traffic มากๆ ได้หรือไม่
A: มันเป็นกฏของธรรมชาติ ถ้าคุณใช้ rule จำนวนมาก ประสิทธิภาพหรือความเร็วก็จะลดลง ในทำนองเดียวกันถ้าลดจำนวน rule เราก็อาจจะตรวจจับอะไรไม่ได้ กรุณาติดตามข่าวสารใน snort-users mailing list

Q: CIDR netmask คืออะไร
A: ดูรายละเอียดที่ http://public.pacbell.net/dedicated/cidr.html และ http://www.rfc-editor.org/rfcsearch.html

Q: ใช้ -r เพื่ออ่านข้อมูลจาก tcpdump file เพื่อประโยชน์อะไร
A: การอ่านข้อมูลจาก tcpdump file มีประโยชน์ในการใช้พิจารณา content, portscan หรืออะไรก็แล้วแต่ที่ Snort สามารถตรวจจับได้

 

Configuration Snort
Q: ผมสามารถรัน Snort บน stealth interface ได้หรือไม่
A: คุณสามารถ set up interface โดยไม่มี IP ได้ โปรดดูรายละเอียดจาก http://www.geocrawler.com/archives/3/4890/2000/9/0/4399696/
A: ใช้ ethernet tab หรือสร้างสายสัญญาณที่ทำหน้าที่รับข้อมูลอย่างเดียว ดูรายละเอียดได้ที่ http://personal.ie.cuhk.edu.hk/~msng0/sniffing_cable/index.htm

Q: จะรัน Snort บน interface ที่ไม่มี IP ได้อย่างไร
A: ได้ เช่น ifconfig eth0 up

Q: เครือข่ายของผมแยกเป็น subnet ย่อยหลายอัน จะระบุ HOME_NET อย่างไร
A: Snort 1.7+ สนับสนุน IP List หลายชุด เช่น var HOME_NET [10.1.1.0/24,192.168.1.0/24]

Q: ผมสามารถรัน Snort บนเครื่องที่มี NIC หลายอันได้หรือไม่
A: สำหรับ linux2.1.x/2.2.x นั้น ต้องรัน snort 1 instance ต่อ 1 interface หรือคุณอาจจะใช้ libpcab library ของ Mr.Krahmer ซึ่งสามารถระบุ interface ที่ต้องการได้

Q: ผมสามารถใช้ Snort กับ DHCP ได้หรือไม่
A: Snort 1.7+ สนับสนุนการตั้งค่าตัวแปร <interface>_ADDRESS ซึ่งจะอ้างอิง IP จาก interface ที่ระบุไว้ ในกรณีที่ interfece นั้น down และ up ขึ้นมาใหม่ (IP เปลี่ยน) คุณจะต้องรัน Snort ใหม่อีกครั้ง (ปัจจุบันมี script ที่ทำงานให้อัตโนมัติแล้ว)

Q: กรณีที่ผมมี interface 1 อัน แต่มี 2 alia สามารถตั้งให้ Snort จับตาดูทั้ง 2 alia ได้หรือไม่
A: ได้ ถ้าคุณใช้ Snort 1.7+ โดยคุณสามารถระบบ IP List หลายๆ ตัวได้ เช่น var HOME_NET [192.168.<your-IP>/24,<Internet address>/32]
A: แต่ถ้าคุณใช้เวอร์ชั่นที่เก่ากว่า 1.7 คุณสามารถใช้วิธีระบบ HOME_NET หลายๆ ครั้งได้ เช่น

var HOME_NET 10.1.1.0/24
include scan-lib
etc.

var HOME_NET 192.168.1.0/24
include scan-lib
etc.

Q: ผมสามารถละทิ้ง (ignore) packet ที่มาจากบาง host ได้หรือไม่
A: คุณต้องเขียน rule ขึ้นมา และเพิ่ม host(s) นั้นๆ ลงใน portscan-ignorehosts และเรียก snort -o เพื่อ activate rule ที่เขียนขึ้นมาใหม่

Q: รัน Snort อย่างไรให้เก็บ header ของ packet ลงใน log ด้วย
A: รันด้วย option -d

Q: ทำใมไม่มี subdirectory ที่เป็นชื่อของ IP ภายใต้ /var/log/snort
A: แสดงว่ามีตั้งค่าในไฟล์ configuration ให้เก็บข้อมูลในรูป binary

Q: ทำอย่างไรให้ Snort ไม่สนใจ traffic บางตัว
A: ระบุ bpf filter (ดูรูปแบบได้จากคู่มือของ tcpdump เช่น not host 10.0.0.1)
A: แก้ไขไฟล์ rules
A: แก้ไขค่า portscan-ignorehosts

Q: ทำใม Snort ยังคง alert ตัว stealth packet ของ host ที่ระบุไว้ใน portscan-ignorehosts
A: Snort จะไม่สนใจว่า source ของ stealth packet มาจากที่ใด Snort จะ alert ทุก packet ที่เป็น stealth packet (ในเวอร์ชันต่อไป อาจจะมีการแก้ไขให้ไม่ alert ในกรณีที่ source อยู่ใน portscan-ignorehosts)

Q: Snort เรียงลำดับความสำคัญของ command line มาก่อนหรือหลังไฟล์ rule
A: Snort ให้ความสำคัญของ command line มาก่อนไฟล์ rule

Q: Snort เรียงลำดับการทำงานของ rule อย่างไร
A: โปรดดูใน http://snort.sourcefire.com/docs/faq.html#3.13

Q: จะใช้งาน stream4 ได้อย่างไร
A: stream4 เป็น preprocessor ตัวใหม่ ซึ่งมีความสามารถในการทำ stateful inspection และ TCP stream reassembly
โดย Snort สามารถรองรับ session ได้ทั้งหมด 64000 session , stream4 ค่อนข้างซับซ้อน เพราะถูกออกแบบมาให้ใช้งานกับ enterprise class users

มีสิ่งที่ต้องแก้ไขในไฟล์ configuration คือ
preprocessor stream4: [noinspect], [keepstats], [timeout <seconds>],
[memcap <btream4_reassemble defaults:
Reassemble client: ACTIVE
Reassemble server: INACTIVE
Reassemble ports: 21 23 25 53 80 143 110 111 513
Reassembly alerts: ACTIVE

และมี option ใหม่ใน command line คือ -z ซึ่งสามารถใช้ได้กับ 2 argument คือ "est" และ "all"(default) ถ้าใช้กับ "est" ก็จะ alert เฉพาะ TCP traffic เท่านั้น
และมี option -k ซึ่งควบคุมการทำงานในส่วนของการตรวจสอบ checksum โดยสามารถใช้งานได้โดยมี argument ดังนี้
"noip" - turn off IP checksum verification
"notcp" - turn off TCP checksum verification
"noudp" - turn off UDP checksums
"noicmp" - turn off ICMP checksums
"none" - turn off all checksums
ซึ่งอาจจะมีประโยชน์ในการช่วยลด overhead ของเครื่องที่จะต้องทำ checksum ในทุก packet เพราะในปัจจุบันนี้ router ส่วนใหญ่จะไม่ปล่อยให้ packet ผ่านไป ถ้า checksum ไม่ถูกต้อง

 

Rules and Alerts
===================
Q: ผมได้รับ error เช่น ERROR somefile.rules:yy => Port value missing in rule! , ERROR somefile.rules:yy => Bad port number: "(msg:"blah" , ERROR somefile.rules:yy => Couldn't resolve hostname blah
A: ไฟล์ somefile.rules มีข้อผิดพลาดที่บรรทัด yy
A: หรือ rule ที่บรรทัด yy นั้นถูกต้องแล้ว แต่ไม่ได้ประกาศตัวแปร

Q: ได้รับ error ดังนี้ "Rule IP addr ("1.1.1.1") didn't x-late, WTF?"
A: ให้ลบ double quote ที่อยู่ล้อมค่า IP ออก

Q: Snort อยู่หลัง firewall และไม่มีอะไรเกิดขึ้นเลย
A: เป็นเพราะว่า firewall ปิดกั้นข้อมูลไว้ (ซึ่งก็ควรจะเป็นอย่างนั้น)

Q: ผมได้รับ alert จำนวนมาก จะหาข้อมูลเกี่ยวกับ alert ได้ที่ใหน
A: บาง rule นั้นสร้าง false alert ขึ้นมามากมาย เราสามารถอ้างอิงหมายเลขของ rule นั้นได้ เช่น

System Example URL
---------------------------------------------------------------
IDS IDS182 http://www.whitehats.com/IDS/182
CVE CVE-2000-0138 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0138
Bugtraq BugtraqID 1 http://www.securityfocus.com/vdb/bottom.html?vid=1
McAfee Mcafee 10225 http://vil.nai.com/vil/dispVirus.asp?virus_k=10225


Q: จะทำอย่างไรกับ false alert ดี
A: มันเป็นเรื่องธรรมดาที่เกิดขึ้นได้ ดังนั้นถ้าพิจารณาแล้วว่า rule นั้นไม่จำเป็นก็ให้ยกเลิกการใช้งาน rule นั้นเสีย

Q: มี ICMP จำนวนมากที่ปรากฏอยู่ใน log
A: ส่วนใหญ่จะเป็น destination unreachable และ port unreachable ซึ่งเกิดจาก session ที่ผิดพลาด

Q: Snort ทำอย่างไรกับ packet ที่ match กับ rule
A: โดยดีฟอลต์แล้ว Snort จะทำการ alert ก่อน จากนั้นก็จะปล่อยผ่าน packet นั้นไป และเก็บข้อมูลลง log (alert-pass-log)
คุณสามารถเปลี่ยนลำดับใหม่ได้โดยใช้ -o โดยจะเปลี่ยนเป็น pass-alert-log

Q: ICMP destination unreachable หมายความว่าอย่างไร
A: Snort เก็บข้อมูล 64 ไบต์แรกของ datagram ที่เป็น original ของการทำให้เกิด fail

Q: ทำใม Snort จึงมี rule ที่ใช้ P(Push) ,A(Ack) จำนวนมาก
A: ใช้เพื่อป้องกัน false positive เพราะจะพิจารณาเฉพาะใน packet ที่ผ่านการทำ 3-way handshake เรียบร้อยแล้วเท่านั้น

Q: ผมมองเห็น IDS Code ในชื่อของ alert มันคืออะไร
A: IDS ในที่นี้คือ Intrusion Detection Signature ซึ่งจะอ้างอิงไปถึงรูปแบบของการโจมตี คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ IDS id ได้ที่ arachNIDS search engine ที่ http://www.whitehats.com

Q: ผมมองเห็น alert ที่บอกว่า BACKDOOR SIGNATURE หมายความว่าระบบของผมมีโทรจันฝังตัวอยู่ใช่หรือไม่
A: คุณควร dump ข้อมูล packet นั้น มาตรวจสอบโดยละเอียดอีกครั้ง โดยเฉพาะข้อมูล port เพราะโทรจันมักใช้ port แปลกๆ

Q: CGI Null Byte attacks หมายถึงอะไร
A: นี่เป็นส่วนหนึ่งของ http preprocessor เนื่องจากมันตรวจพบว่ามีการร้องขอข้อมูล %00 ใน http packet แต่บางครั้งก็เป็น false alert ได้เพราะบางไซต์มักใช้ cookies ด้วย option urlencode binary data หรือการ scan port 443 คุณสามารถตรวจสอบความถูกต้องของ alert นั้นๆ ได้โดยการ dump packet มาตรวจสอบโดยละเอียด

Q: ทำใมใน alert message มี unknow IP ปรากฏมาด้วย
A: ในกรณีที่ preprocessor เป็นผู้ตรวจจับเหตุการณ์นั้นได้ จะไม่มีการเก็บข้อมูลของ packet นั้นๆ ซึ่งต่างจากการตรวจจับได้โดย rule ธรรมดา ซึ่งจะมีข้อมูลของ packet ครบ

Q: ผมสามารถจัดลำดับความสำคัญของ alert ผ่านทาง ACID ได้หรือไม่
A: ไม่ได้ เพราะ Snort ไม่ได้ให้ความสามารถในการจัดเรียงลำดับความสำคัญของ alert แต่คุณสามารถทำได้โดยการแยกเก็บข้อมูล alert ลงในฐานข้อมูลแยกกัน ซึ่งก็จำเป็นต้องใช้ ACID แยกกันเช่นเดียวกัน

Q: SMB name wildcard คืออะไร
A: มีการตรวจพบว่ามี netbios traffic จากเครือข่ายภายนอกเข้ามายังเครือข่ายของคุณ http://dev.whitehats.com/cgi/test/new.pl/Show?_id=netbios-name-query

Q: SYNFIN scan คืออะไร
A: คือการ scan port ชนิดหนึ่ง ที่มีการเซ็ตค่า flag ของทั้ง SYN และ FIN

Q: IIS Unicode attacked detect คืออะไร
A: เกิดขึ้นจาก http_decode preprocessor คุณสามารถยกเลิกการทำงานของมันได้โดยการระบุ -unicode หรือ-cginull ต่อท้าย เช่น preprocessor http_decode: 80 8080 -unicode -cginull

 

Getting Fancy
Q: ผมสามารถดูข้อมูลล็อกของ Snort ในรูปของ HTML ได้หรือไม่
A: ได้ซิ แต่คุณต้องติดตั้ง SnortSnarf ก่อนนะ http://www.silicondefense.com/snortsnarf/

Q: ผมอยากเก็บข้อมูลล็อกลงในฐานข้อมูลโดยใช้ ACID เป็นตัวช่วย
A: ได้แน่นอน โปรดดูรายละเอียดที่ http://thaicert.nectec.or.th/paper/ids/snort.php และ http://thaicert.nectec.or.th/paper/ids/snort2.php

Q: ผมสามารถเก็บข้อมูลลงในฐานข้อมูลที่มากกว่าหนึ่งที่ได้หรือไม่
A: ได้แน่นอน เช่น

output log_database: mysql, dbname=snort host=localhost user=xyz
output log_database: mysql, dbname=snort host=remote.loghost.com user=xyz

Q: ผมสามารถทดสอบรัน Snort โดยไม่ต้องใช้ Ethernet Card หรือการเชื่อมต่อกับเครื่องคอมพิวเตอร์อื่นได้หรือไม่
A: You have to use routing between two dummy devices:

modprobe -a dummy (The dummy device has to be build by the kernel)
ifconfig dummy0 192.168.0.1
ifconfig dummy0:0 192.168.0.2
telnet 192.168.0.3 12345


It's important that the second IP is on the same interface and not e.g.
dummy1 or dummy2 and that the IP you try to access is *not* one of those you
put on the interfaces. Use snort's ability to hear in promiscious mode on an
IP address range. (HOMEDIR=192.168.0.0/16)

Q: รัน Snort บน Win32 เป็น service ได้หรือไม่
A: คุณสามารถดาวน์โหลด snort-1.6.3-patch2 ได้ที่ http://www.datanerds.net/~mike/dev/snort-1.6.3-patch2-service.zip
โดย

  1. ต้องใช้ full-path ในทุกๆ ที่ ทั้ง command line และในไฟล์ configuration
  2. ต้องระบุ logging directory ทุกครั้ง (ด้วย option -l) ไม่เช่นนั้นเครื่องของคุณจะแฮงค์ภายใน 4 นาที
  3. ตัวอย่างการรันที่ถือเป็น service
    'snort.exe -c C:\snort\snort.conf -l C:\snort\log -h 192.168.1.0/24 -s -I'
    ทั้งนี้ไม่จำเป็นต้องใช้ -D เพราะ Snort จะเพิ่มให้เองโดยอัติโนมัติ
  4. ลบ service ออก โดยใช้ "snort -R"
  5. คุณสามารถรัน Snort ได้บน 9x/ME เช่นเดียวกัน
  6. ขณะนี้ฟังก์ชั่นที่ใช้งานได้บน NT คือ start,stop เท่านั้น ส่วน Pause, Resume นั้นยังไม่สามารถใช้งานได้

Q: Snort สามารถเพิ่ม rule ให้กับ iptables/ipchains firewall ได้หรือไม่
A: ได้ โดยใช้ซอฟแวร์ช่วยที่ชื่อ Guardian http://www.chaotic.org/~astevens/Guardian/index.html
แต่ไม่แนะนำให้ทำ

Q: Snort แจ้ง error คำว่า react
A: คุณต้องรัน configure ใหม่ โดยเพิ่ม option --enable-flexresp เข้าไป และต้อง install Snort ใหม่ด้วย

Q: Snort สามารถส่ง alert ผ่านทางอี-เมล์ได้หรือไม่
A: คุณต้องให้ Snort เก็บข้อมูลลง syslog แล้วจากนั้นจึงให้ swatch หรือ logcheck เป็นตัวส่งอี-เมล์ให้อีกครั้ง

 

Problem
Q: SMBAlert ไม่ทำงาน
A: คุณต้องรัน configure ด้วย option --enable-smbalerts

Q: อะไรคือ Garbage Packet with Null Pointer discarded
A: มันเป็นบั๊กของเวอร์ชั่นเก่า กรุณา upgrade โปรแกรมให้เป็นรุ่นล่าสุด

Q: อะไรคือ Ran Out Of Space
A: มันเป็นการแจ้งเตือนจาก defragmentation preprocessor เมื่อมันทำงานเกินพื้นที่ที่กำหนด

Q: Snort ไม่ยอมเก็บข้อมูลลงในฐานข้อมูล
A: โปรดดูที่ http://www.incident.org/snortdb หรือ http://thaicert.nectec.or.th/paper/ids/snort2.php

Q: ACID เกิด time-out เมื่อผมลบข้อมูลจำนวนมาก
A: คุณต้องแก้ไขตัวแปร max_execution_time ที่อยู่ในไฟล์ php.ini เพื่อเพิ่มระยะเวลาให้มากขึ้น

Q: Snort แจ้งว่า 'Packet loss statistics are unavailable under Linux'
A: เป็นปัญหาของ linux คุณควรใช้ kernel 2.4 หรือทดลองใช้ *BSD

Q: โฟลเดอร์ /var/log/snort มีขนาดใหญ่มาก
A: คุณสามารถรัน script ต่างๆ เพื่อจัดการตรงนี้ได้ ดูรายละเอียดเพิ่มเติมที่ http://www.snort.org

Q: ผมไม่สามารถลบ alert messages ผ่านทาง ACID ได้มันแจ้งว่า error deleting alert
A: คุณต้องตั้งสิทธิของฐานข้อมูลให้สามารถ DELETE ข้อมูลได้ เช่น GRANT DELETE on snort.* to acid@localhost

Q: ACID ไม่สามารถใช้งานได้กับ Lynx
A: เราทราบแล้ว ให้คุณใช้ Opera, Netscape หรือ IE แทน

Q: มีการเตือนว่า snort [pid] uses obsolete (PF_INET, SOCK_PACKET)
A: เพราะคุณใช้ libpcab ตัวเก่าเกินไป โปรด upgrade ใหม่โดยดูรายละเอียดที่ http://www.tcpdump.org

Q: ผมใช้ Snort บน HPUX และได้รับ device lan0 open: recv_ack: promisc_phys: Invalid argument
A: เนื่องจากมีโปรแกรมอื่นใช้งาน DLPI อยู่

Q: Snort แจ้งว่า can not create file เกิดอะไรขึ้น เพราะ harddisk นั้นยังมีพื้นที่เหลืออีกเยอะ
A: เกิดขึ้นจาก inode ไม่เพียงพอ คุณควรจะลบไฟล์อื่นๆ ที่ไม่ได้ใช้

Q: Snort ไม่เก็บข้อมูลลงในฐานข้อมูล
A: เป็นเพราะคุณไม่ได้สั่งให้ Snort ทำเช่นนั้น (แก้ไขไฟล์ configuration)
A: คุณใช้ database schema ที่เก่าเกินไป
A: หรือคุณสั่งใน command line ว่าให้เก็บข้อมูลไปไว้ที่อื่น เช่น option -A หรือ -s ซึ่งสั่งให้เก็บข้อมูลลงใน syslog

Q: ไม่มีข้อมูล portscan อยู่ในฐานข้อมูลเลย
A: คุณต้องแก้ไข output plugin จาก log เป็น alert เช่น
output database: alert, mysql, user=snort dbname=snort host=localhost

Q: ทำใม Snort ไม่เก็บข้อมูลล็อกไว้ใน syslog
A: เนื่องจากมีการใช้ command line option -A ซึ่งมี priority สูงกว่า
A: อาจจะเก็บไว้คนละที่ก็เป็นได้ โปรดดูการทำงานของ syslog

Q: ข้อมูลล็อกของผมเต็มไปด้วย spp_portscan ที่มี source มาจาก dns server ของผมเอง
A: แก้ไขไฟล์ var DNS_SERVERS [xxx.xx.0.3/32,xxx.xxx.0.2/32] ในไฟล์ configuration และต้องมั่นใจว่าตัวแปร $DNS_SERVERS ได้ถูกระบุในค่า proscan ignore hosts เช่น preprocessor portscan-ignorehosts: $DNS_SERVERS

Q: เมื่อส่งสัญญาณ SIGHUP ไปยัง Snort ทำใม Snort จึงไม่ยอมทำงานต่อ
A: เป็นปัญหาในเรื่องของ permission กรุณารัน Snort ใหม่


Home || เอกสารเผยแพร่ || IDS

ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved.