
提供: セキュリティ
移動: 案内検索
(ページの作成:「Snort をインストールして、設定して、動かすまでの間に、いくつものエラーに遭遇します。 __TOC__ == 概要 == 設定をきち...」)

2013年10月12日 (土) 23:26時点における最新版

Snort をインストールして、設定して、動かすまでの間に、いくつものエラーに遭遇します。




Snort が起動しない場合

自分の使用しているネットワークのIPアドレスを設定する必要があります。 HOME_NET が設定されていないとエラーになります。

% sudo /usr/local/etc/rc.d/snort onestart
Starting snort.
/usr/local/etc/rc.d/snort: WARNING: failed to start snort
% sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.conf
Running in IDS mode
        --== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/usr/local/etc/snort/snort.conf"
ERROR: /usr/local/etc/snort/snort.conf(45) Failed to parse the IP address: [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf].
Fatal Error, Quitting..


Snort のルールファイル(シグネチャ)がないとエラーになります。

ERROR: /usr/local/etc/snort/./rules/local.rules(0) Unable to open rules file

上記の local.rules がない場合、 snort.conf から include の設定を消すか、ファイルを作成します。

sudo touch "/usr/local/etc/snort/./rules/local.rules"


% sudo local/etc/rbin/snort -c /usr/local/etc/snort/snort.conf
Running in IDS mode
        --== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/usr/local/etc/snort/snort.conf"
PortVar 'HTTP_PORTS' defined :  [ 80:90 311 383 591 593 631 901 1220 1414 1741
1830 2301 2381 2809 3037 3057 3128 3443 3702 4343 4848 5250 6080 6988 7000:7001
7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123
8180:8181 8222 8243 8280 8300 8500 8800 8888 8899 9000 9060 9080 9090:9091 9443
9999:10000 11371 34443:34444 41080 50000 50002 55555 ]
PortVar 'SHELLCODE_PORTS' defined :  [ 0:79 81:65535 ]
PortVar 'ORACLE_PORTS' defined :  [ 1024:65535 ]
PortVar 'SSH_PORTS' defined :  [ 22 ]
PortVar 'FTP_PORTS' defined :  [ 21 2100 3535 ]
PortVar 'SIP_PORTS' defined :  [ 5060:5061 5600 ]
PortVar 'FILE_DATA_PORTS' defined :  [ 80:90 110 143 311 383 591 593 631 901
1220 1414 1741 1830 2301 2381 2809 3037 3057 3128 3443 3702 4343 4848 5250 6080
6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090
8118 8123 8180:8181 8222 8243 8280 8300 8500 8800 8888 8899 9000 9060 9080
9090:9091 9443 9999:10000 11371 34443:34444 41080 50000 50002 55555 ]
PortVar 'GTP_PORTS' defined :  [ 2123 2152 3386 ]
   Search-Method = AC-Full-Q
    Split Any/Any group = enabled
    Search-Method-Optimizations = enabled
    Maximum pattern length = 20
ERROR: /usr/local/etc/snort/./rules/local.rules(0) Unable to open rules file
"/usr/local/etc/snort/./rules/local.rules": No such file or directory.
Fatal Error, Quitting..

usbus0 でエラーになる

インターフェースを指定してない場合、自動的にインターフェースが選択されて、動作しませんでした。 FreeBSD の場合は、 rc.conf にsnort_interfaceでインターフェースを指定できます。

[ Port Based Pattern Matching Memory ]
[ Number of patterns truncated to 20 bytes: 0 ]
pcap DAQ configured to passive.
Acquiring network traffic from "usbus0".
Reload thread starting...
Reload thread started, thread 0x28805500 (49289)
ERROR: Cannot decode data link type 186
Fatal Error, Quitting..

snort コマンド には、-i でインターフェースが指定できます。

sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -i em0
