Frage zu Snort
Frage zu Snort
Hallo Leute! Kennt sich hier irgentjemand mit dem Programm Snort aus?
Ich hab da nämlich Probleme. Das Programm lief bis vor kurzen jedoch das Ruleupdate nicht. Ich hab dann das Ruleuptdate ans laufen gebracht aber seit dem update sagt er mir beim start des programms "Unknown rule option:`pkt_data`"
Ich suche jetzt schon seit ca 24 Stunden nach einer lösung finde aber nichts.
Ich hab da nämlich Probleme. Das Programm lief bis vor kurzen jedoch das Ruleupdate nicht. Ich hab dann das Ruleuptdate ans laufen gebracht aber seit dem update sagt er mir beim start des programms "Unknown rule option:`pkt_data`"
Ich suche jetzt schon seit ca 24 Stunden nach einer lösung finde aber nichts.
Re: Frage zu Snort
Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!!
Gruß Cae
Gruß Cae
Zuletzt geändert von Cae am 07.03.2012 12:33:57, insgesamt 1-mal geändert.
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Frage zu Snort
Snort.conf
http://nopaste.info/a3e90b1ad5.html
Eine log datei dafür gibt es leider bisher nicht. Logverzeichnis vorhanden aber leer...
http://nopaste.info/a3e90b1ad5.html
Eine log datei dafür gibt es leider bisher nicht. Logverzeichnis vorhanden aber leer...
Zuletzt geändert von dalari am 07.03.2012 15:19:43, insgesamt 1-mal geändert.
Re: Frage zu Snort
Was ist daran unverständlich gewesen? Oder hast du NoPaste nur nicht gefunden? Ich denke, ich spreche nicht nur für mich, wenn ich schreibe: Das schaue ich mir in seiner jetzigen Form nicht an.Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!!
cu,
niemand
Re: Frage zu Snort
Tut mir leid ich muss das NoPaste übersehen haben.
http://nopaste.info/a3e90b1ad5.html
http://nopaste.info/a3e90b1ad5.html
Re: Frage zu Snort
kann mir da keiner helfen?
Re: Frage zu Snort
Da ist in einer Regel eine für die aktualisierte Snort-Version nicht gültige Option eingetragen. Die snort.conf hier zu posten, bringt da keinen Sinn; man hatte Dich um eine Log gebeten, also bspw. um das Ergebnis von
Du solltest die aktuelle Konfiguration wie folgt testen:
und diese erstellte Text-Datei mal unter die Lupe nehmen. Es sollte auch hülfen, nach der Zeichenkette pkt_data im Rules-Verzeichnis zu suchen, z.B. mit dem mc.
Code: Alles auswählen
cat /var/log/syslog |grep snort
Code: Alles auswählen
/usr/sbin/snort -T -c /etc/snort/snort.conf > /root/snort-test.txt
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: Frage zu Snort
Na Mann-O-Meter, Du hast aber ein Umgangston. Zwischenmenschliche Beziehung ist wohl nicht deine Stärke. Ich finde das ekelhaft!Cae hat geschrieben:Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!!
Naja Cae, vielleicht hast du ja nur einen scheiß Tag. Trotzdem danke für deine Hilfe in Namen aller für die sich noch nicht so gut auskennen wie Du.
Viele Grüße,
Yoda
Hilfe ich bin ein Mod!
Yoda
Hilfe ich bin ein Mod!
Re: Frage zu Snort
Ist ein Stilmittel, und die ekelhaft zu finden, finde ich wiederum ekelhaft. Wer genau hinschaut, vermag die bewusste Übertreibung problemlos zu erkennen.
sry4OT,
niemand
sry4OT,
niemand
Re: Frage zu Snort
@Niemand: Schön, dass Du meine Meinung ekalhaft findest. Klar wird man mit Rüge und Peitsche aufmerksamer. Aber ich meine mit Freiheit, Weisheit und die Freunde am Lernen hat diese rhetorische Siltmittel nichts verwandt! VIelleicht erklärt das hier was ich meine:
Der freundliche Meister
Burkhard Heidenberger schrieb am 5.7.2008 zum Thema „Geschichten & Weisheiten“.
Heute wieder mal eine kurze Weisheitsgeschichte, die mir besonders gefällt. Es geht um Freundlichkeit. Ich schätze freundliche Menschen und bin überzeugt, dass man mit Freundlichkeit viele Hürden schafft. Aber wie kann man Freundlichkeit lernen? Das wollte auch ein Schüler von seinem Meister wissen, aber lesen Sie selbst:
Ein Schüler ist fasziniert vom freundlichen Umgang seines Meisters mit anderen Menschen. Deshalb will er wissen: „Meister, wer hat dich diese Freundlichkeit gelehrt und wie kann ich auch so freundlich werden wie du?“
Der Meister antwortete mit einem Lächeln: „Nicht ein Lehrer, sondern viele Lehrer haben mich Freundlichkeit gelehrt und ich lerne immer noch.“
Der Schüler war verwundert. Der Meister fuhr fort:
„Alle unhöflichen Menschen waren und sind meine Lehrer. Ich habe mir immer gemerkt, was mir am Benehmen dieser Menschen nicht gefallen hat - und dann habe ich mich bemüht, dieses Verhalten meinen Mitmenschen gegenüber zu vermeiden. Siehst du, so einfach ist das!“
Ansonsten möchte ich dieses Thema nicht weiter kommentieren.
Lg
Der freundliche Meister
Burkhard Heidenberger schrieb am 5.7.2008 zum Thema „Geschichten & Weisheiten“.
Heute wieder mal eine kurze Weisheitsgeschichte, die mir besonders gefällt. Es geht um Freundlichkeit. Ich schätze freundliche Menschen und bin überzeugt, dass man mit Freundlichkeit viele Hürden schafft. Aber wie kann man Freundlichkeit lernen? Das wollte auch ein Schüler von seinem Meister wissen, aber lesen Sie selbst:
Ein Schüler ist fasziniert vom freundlichen Umgang seines Meisters mit anderen Menschen. Deshalb will er wissen: „Meister, wer hat dich diese Freundlichkeit gelehrt und wie kann ich auch so freundlich werden wie du?“
Der Meister antwortete mit einem Lächeln: „Nicht ein Lehrer, sondern viele Lehrer haben mich Freundlichkeit gelehrt und ich lerne immer noch.“
Der Schüler war verwundert. Der Meister fuhr fort:
„Alle unhöflichen Menschen waren und sind meine Lehrer. Ich habe mir immer gemerkt, was mir am Benehmen dieser Menschen nicht gefallen hat - und dann habe ich mich bemüht, dieses Verhalten meinen Mitmenschen gegenüber zu vermeiden. Siehst du, so einfach ist das!“
Ansonsten möchte ich dieses Thema nicht weiter kommentieren.
Lg
Viele Grüße,
Yoda
Hilfe ich bin ein Mod!
Yoda
Hilfe ich bin ein Mod!
Re: Frage zu Snort
na ja, wenn jemand seine geistigen ergüsse respektive die anderer verfasser schon als »weisheitsgeschichten« o.ä. deklariert, dann sollte man eigentlich schon erwarten können, daß diese wenigstens eine differenzierung bezüglich »freundlichkeit« und »höflichkeit« vornehmen, egal, ob man dermaßen pseudo-bedeutungsschwangere namen wie »Burkhard Heidenberger« (pseudonym oder tatsächlich realname?) vor sich herträgt oder nicht.
ebenfalls 'tschuldigung für das off-topic.
ebenfalls 'tschuldigung für das off-topic.
My bash says Ultraman.
Re: Frage zu Snort
Hach, wennes schon soweit ist:
… mögen die Mods mir verzeihen,
niemand
Dummerweise war das in Caes Beitrag nicht das Stilmittel (wenn es denn eines wäre), sondern die überzogene Darstellung war es. Üblicherweise wird hier eine Darstellung in der Form „!!1“ (und deren Abwandlungen) mit einem zwinkernen Auge gesehen. Der Smiley bestärkt dieses zusätzlich.Klar wird man mit Rüge und Peitsche aufmerksamer.
… mögen die Mods mir verzeihen,
niemand
Re: Frage zu Snort
Nein, mir geht es prima, danke der Nachfrage. Wie schon weiter oben festgestellt war die Phrase in der Tat bewusst übertrieben, mit ernstem Hintergrund. Das war nicht böse gemeint, nur steht über jeder Antwortbox, wie man bitteschön NoPaste zu verwenden hat. Ich plädiere für Mausradmopeds – oder für Zeitgenossen, die geschriebene Hinweise ernst nehmen.yoda hat geschrieben:Na Mann-O-Meter, Du hast aber ein Umgangston. Zwischenmenschliche Beziehung ist wohl nicht deine Stärke. Ich finde das ekelhaft!Cae hat geschrieben:Snort hat Konfigurationsdateien und ggf. auch Logfiles. Poste sie. Nach NoPaste!1!!
Naja Cae, vielleicht hast du ja nur einen scheiß Tag. Trotzdem danke für deine Hilfe in Namen aller für die sich noch nicht so gut auskennen wie Du.
Aber hier ging es um Snort.
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Frage zu Snort
Oja so allmählich dämmerts bei mir. Sobald ich kein Mod mehr bin, sondern was aufn Kasten habe, so das ich gescheite Fragen und Antworten stellen kann, werde ich der höfflichste und kompetentester Debianuser werden der ich sein kann! Meine Smileys werden sein.
Ihr werdet es nich glauben, aber dieser Thread hat mir im Bezug auf mein Verständnis nach der Frage, ob Freundlichkeit Sinn macht, geholfen.
Danke für eure Geduld
Ihr werdet es nich glauben, aber dieser Thread hat mir im Bezug auf mein Verständnis nach der Frage, ob Freundlichkeit Sinn macht, geholfen.
Danke für eure Geduld
Viele Grüße,
Yoda
Hilfe ich bin ein Mod!
Yoda
Hilfe ich bin ein Mod!
Re: Frage zu Snort
Bei /usr/sbin/snort -T -c /etc/snort/snort.conf > /root/snort-test.txt kommt das raus:
http://nopaste.info/62503f0f56.html
In den logs konnte ich jedoch nirgentwo etwas finden, egal ob mir grep oder sonst sonstigen möglichkeiten.
http://nopaste.info/62503f0f56.html
In den logs konnte ich jedoch nirgentwo etwas finden, egal ob mir grep oder sonst sonstigen möglichkeiten.
Re: Frage zu Snort
Da scheint was tierisch nicht zu stimmen in der SNORT Konfiguration
ERROR: /etc/snort/./rules/snort.rules(2610) Unknown rule option: 'pkt_data'.
Fatal Error, Quitting..
Das Standard-Verzeichnis der Regeln ist /etc/snort/rules, Du scheinst also die Regeln angepasst zu haben. Gibt es wirklich die Datei snort.rules in Deinem Rules-Pfad? Wenn ja, dann deaktiviere mal jede Regel in der Datei mit #, in welcher die Zeichenkette pkt_data vorkommt.
Wie hast Du das Update ausgeführt, über apt oder mit snort-Tools ?
Ansonsten hülft:
- alle per Hand modifizierten Dateien sichern
- apt-get purge snort*
- snort neu mit Standardoptionen installieren
ERROR: /etc/snort/./rules/snort.rules(2610) Unknown rule option: 'pkt_data'.
Fatal Error, Quitting..
Das Standard-Verzeichnis der Regeln ist /etc/snort/rules, Du scheinst also die Regeln angepasst zu haben. Gibt es wirklich die Datei snort.rules in Deinem Rules-Pfad? Wenn ja, dann deaktiviere mal jede Regel in der Datei mit #, in welcher die Zeichenkette pkt_data vorkommt.
Wie hast Du das Update ausgeführt, über apt oder mit snort-Tools ?
Ansonsten hülft:
- alle per Hand modifizierten Dateien sichern
- apt-get purge snort*
- snort neu mit Standardoptionen installieren
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: Frage zu Snort
Es gibt /etc/snort/rules/snort.rules. Ich nutze Pulledpork zum Updaten meiner Regeln und ich selbst verändere nichts an den Regeln selbst. ich habe das einmal versucht, dabei ist klar geworden das es zu viele Zeilen sind in denen pkt_data vorkommt um alle auszukommentieren, auserdem werden die Regeln automatisch geupdatet, also würden die auskommentierten Zeilen immer wieder neu unkommentiert. Vor dem Regelupdate funktionierte alles und ich habe mich nur nach der Anleitung auf der Homepage gerichtet. https://www.snort.org/assets/167/deb_snort_howto.pdf
Mir ist schon klar das in der konfiguration etwas falsch sein muss. Es muss irgenteine option Fehlen, ich weiß aber nicht welche.
Mir ist schon klar das in der konfiguration etwas falsch sein muss. Es muss irgenteine option Fehlen, ich weiß aber nicht welche.
Re: Frage zu Snort
Siehe hier ...
http://blog.snort.org/2011/08/snort-291 ... point.html
Es ist eine korrekte Option, wie der Blog-Eintrag erläutert.
Ich habe jetzt zur Sicherheit meine Snort VM mal hochgefahren und nachgeschaut. Da ist ein 2.9.2-3 aus Sid drauf und alle Rules mit pkt_data Optionen sind aktiviert. Es funzt alles wunderbar. Hast Du auch mind. Snort 2.9.1 installiert ?
Ich mache Rules-Updates mit oinkmaster und eigenem Skript, vielleicht ist auch bei pulledpork irgend etwas schief gelaufen?
http://blog.snort.org/2011/08/snort-291 ... point.html
Es ist eine korrekte Option, wie der Blog-Eintrag erläutert.
Ich habe jetzt zur Sicherheit meine Snort VM mal hochgefahren und nachgeschaut. Da ist ein 2.9.2-3 aus Sid drauf und alle Rules mit pkt_data Optionen sind aktiviert. Es funzt alles wunderbar. Hast Du auch mind. Snort 2.9.1 installiert ?
Ich mache Rules-Updates mit oinkmaster und eigenem Skript, vielleicht ist auch bei pulledpork irgend etwas schief gelaufen?
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: Frage zu Snort
Ich komm da nciht drauf klar....ich weiß damit absolut nicht wo ich iwas hinschreiben muss.
Kann mir das einer erklären? wo muss ich da welche option hinschreiben?
Kann mir das einer erklären? wo muss ich da welche option hinschreiben?
Re: Frage zu Snort
Welche SNORT Version hast Du Installiert ? (apt-cache policy snort)
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: Frage zu Snort
Du kannst ja mal in den Chat kommen ...
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: Frage zu Snort
Ich habe 2.9.1.2 installiert wie in der Anleitung die ich weiter oben gepostet habe zu sehen ist.
Re: Frage zu Snort
Na gut, da haben wir ja zwei nicht vergleichbare Installationen, denn ich benutze immer alles aus den Debian-Repos. Schade, dann kann ich Dir nicht weiterhelfen. Mit den Paketen aus Debian Sid funktioniert jedenfalls alles wie es soll insoweit ich ja Pulledpork nicht benutze.
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: Frage zu Snort
also kann mir keiner helfen?
Re: Frage zu Snort
Lösche Deine händische Konfiguration mit allen Parametern und Programmen, installiere es nochmal aus den Debian-Paketen und Du bekommst hier alles, was Du brauchst ...
Naja, großartiges Versprechen - ich weiß - aber es scheint ja sonst niemand eine vergleichbare Konfiguration zu haben. Oder Du frachst mal den Skript-Maker aus der PDF.
Naja, großartiges Versprechen - ich weiß - aber es scheint ja sonst niemand eine vergleichbare Konfiguration zu haben. Oder Du frachst mal den Skript-Maker aus der PDF.
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...