10
Snort, WinXP SP2 und eingehende Pakete
Hi,
bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.
--diese Satz steht nur wegen der 256 Zeichen begrenzung--
MfG
bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.
--diese Satz steht nur wegen der 256 Zeichen begrenzung--
MfG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55803
Url: https://administrator.de/contentid/55803
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
ich frag aber trotzdem mal nach dem Grund, denn wenn man nicht weiss, was Du vor hast oder was der Sinn dieser Aktion sein soll, dann kann man Dir auch nicht wirklich helfen
also, wofür brauchst Du ein Intrusion Detection System? würde nicht auch eine vernünftige (Hardware-)Firewall ausreichen?
also, wofür brauchst Du ein Intrusion Detection System? würde nicht auch eine vernünftige (Hardware-)Firewall ausreichen?
Im Grunde will ich nur mein Wissen etwas erweitern indem ich meinen PC "sicherer" mache.
SO ich habe es jetzt geschaft das Snort die Pakete findet. Auf der Seite von Win IDS sagt man mir ich soll einen IIS server installieren. Aber brauche ich den wenn ich Snort auf meinem Rechner laufen lasse? Und geht SnortSnarf dann noch?
SO ich habe es jetzt geschaft das Snort die Pakete findet. Auf der Seite von Win IDS sagt man mir ich soll einen IIS server installieren. Aber brauche ich den wenn ich Snort auf meinem Rechner laufen lasse? Und geht SnortSnarf dann noch?
ah ja, ok, aber 1. funktioniert SNORT wohl nur unter Linux (wenn ich das auf deren HP richtig gelesen habe) und 2. benutzt Du Windows XP, welches in der Grundkonfiguration sicherlich nicht sicher ist
entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre
"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)
*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre
"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)
*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
Ich hab es jetzt zum laufen gekriegt, mit SnortSnarf. Ja, auf meinem WinXP PC!
Jetzt habe ich eine frage nach dem was er erkennt. Er hat bei mir (nur von Heute Morgen bis jetzt) 866 (in 20min von 799 auf 866) Pakete von 473 verschiedenen IP Addressen als Quellen bekommen, die alle "ICMP Destination Unreachable Communication Administratively Prohibited" heißen. Ich habe gelesen das die Teil einer DoS Attacke sein können. Dafür sind es aber zu viele Quellen.
Desweiteren kommen 58 davon von meiner Öffentlichen IP Addresse mit dem Ziel meiner Internen (77.178.198.162 -> 192.168.178.21).
Das hier ist eines davon:
Was geht da vor?
MfG
Jetzt habe ich eine frage nach dem was er erkennt. Er hat bei mir (nur von Heute Morgen bis jetzt) 866 (in 20min von 799 auf 866) Pakete von 473 verschiedenen IP Addressen als Quellen bekommen, die alle "ICMP Destination Unreachable Communication Administratively Prohibited" heißen. Ich habe gelesen das die Teil einer DoS Attacke sein können. Dafür sind es aber zu viele Quellen.
Desweiteren kommen 58 davon von meiner Öffentlichen IP Addresse mit dem Ziel meiner Internen (77.178.198.162 -> 192.168.178.21).
Das hier ist eines davon:
[**] [1:485:5] ICMP Destination Unreachable Communication Administratively Prohibited [**]
[Classification: Misc activity] [Priority: 3]
04/05-12:44:18.715000 77.178.198.162 -> 192.168.178.21
ICMP TTL:63 TOS:0xC0 ID:10100 IpLen:20 DgmLen:56
Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED,
PACKET FILTERED
** ORIGINAL DATAGRAM DUMP:
192.168.178.21:137 -> 212.184.213.98:137
UDP TTL:127 TOS:0x0 ID:10100 IpLen:20 DgmLen:78
Len: 50 Csum: 8847
** END OF DUMPWas geht da vor?
MfG
Hallo Smiley!
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten
SnortSnarf ist ein Diagnosetool fuer Snort.
"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS
Diese "Verbindung" wurde abgeblockt!
Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf
saludos
gnarff
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten
SnortSnarf ist ein Diagnosetool fuer Snort.
"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS
Diese "Verbindung" wurde abgeblockt!
Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf
saludos
gnarff
Danke ich werde mir die Seiten/PDFs angucken.
In der Zeit seit dem letzten Beitrag von mir, habe ich schon herausgefunden das die Firewall meines Routers eine verbindung über den Port 137 abgeblockt hat und meinem rechner dann mit einem dieser Pakete darauf aufmerksam macht.
---
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.
Wirklich ... diese Sätze hättest du dir sparen können.
Außerdem gibt es auch Host basierte IDS.
MfG
PS: Mir ist klar das das nicht viel Sinn macht ein IDS auf meinem Rechner zu haben. Wenn ich herausgefunden hab wie ich Snort in meinem Router bekomm, werd ich es bei mir unterwerfen.
In der Zeit seit dem letzten Beitrag von mir, habe ich schon herausgefunden das die Firewall meines Routers eine verbindung über den Port 137 abgeblockt hat und meinem rechner dann mit einem dieser Pakete darauf aufmerksam macht.
---
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.
Wirklich ... diese Sätze hättest du dir sparen können.
Außerdem gibt es auch Host basierte IDS.
MfG
PS: Mir ist klar das das nicht viel Sinn macht ein IDS auf meinem Rechner zu haben. Wenn ich herausgefunden hab wie ich Snort in meinem Router bekomm, werd ich es bei mir unterwerfen.
Hallo!
Außerdem gibt es auch Host basierte
IDS.
Ja, aber nicht unter Windows und auch bei HIDS brauchst du einen Server. HIDS bedeutet lediglich, dass JEDER Host sein eigenes IDS hat, nichts weiter...
PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.
Wonach Du suchst scheint ein Intrusion Prevention System zu sein...
Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.
SNORT in den Router? Wie soll SNORT in den Router kommen, das ist Unfug!
Was willst Du damit bezwecken?
saludos
gnarff
---
Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.
Wirklich ... diese Sätze hättest
du dir sparen können.
Warum? Dein Vorredner hatte gemutmasst, SNORT wuerde nur unter Linux laufen...Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.
Wirklich ... diese Sätze hättest
du dir sparen können.
Außerdem gibt es auch Host basierte
IDS.
PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.
Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.
Was willst Du damit bezwecken?
saludos
gnarff
Ich hab eine Fritz!Box, ich kann mit Telnat oder einem FTP Programm auf sie zugreifen und Daten Speichern und Programme ausführen. (BFTP z.B)
Naja, die Fritz!Box ist im Grunde auch ein Server.
..., jetzt fällt mir ein das die Fritz.Box ganz bestimmt nicht genug RAM hat um Snort laufen zu lassen. Mit der kleinsten Einstellung benötigt Snort immernoch 100MB Arbeitsspeicher.
Tja wird wohl nichts.
Hm, Snort läuft einwandfrei bei mir auf meinem Einzelplatzrechner. Warum also benötige ich einen Server?
MfG
PS: Warum habe ich in meinem vorherigen Beitrag "unterwerfen" geschrieben?
Naja, die Fritz!Box ist im Grunde auch ein Server.
..., jetzt fällt mir ein das die Fritz.Box ganz bestimmt nicht genug RAM hat um Snort laufen zu lassen. Mit der kleinsten Einstellung benötigt Snort immernoch 100MB Arbeitsspeicher.
Tja wird wohl nichts.
Hm, Snort läuft einwandfrei bei mir auf meinem Einzelplatzrechner. Warum also benötige ich einen Server?
MfG
PS: Warum habe ich in meinem vorherigen Beitrag "unterwerfen" geschrieben?
Herrschaftszeiten, ich frage Dich jetzt noch einmal:
Was willst Du mit deinem Vorhaben SNORT in deiner Fritzbox, oder wo auch immer laufen zu lassen, erreichen?
saludos
gnarff
PS: Ich nehme mal an, Du hattest das "R" vergessen...= r+unterwerfen
Was willst Du mit deinem Vorhaben SNORT in deiner Fritzbox, oder wo auch immer laufen zu lassen, erreichen?
saludos
gnarff
PS: Ich nehme mal an, Du hattest das "R" vergessen...= r+unterwerfen
Garnichts da Snort dort nicht laufen wird.
Nagut ich glaub ich setz mal ein "gelöst" an diesem Beitrag.
MfG und Danke für eure Hilfe.
PS: Ja, ich glaub du hast recht.
Nagut ich glaub ich setz mal ein "gelöst" an diesem Beitrag.
MfG und Danke für eure Hilfe.
PS: Ja, ich glaub du hast recht.
