Frage von hoffenheim90, 39

Wie bringe ich den Snort dazu, dass er das WLAN-Netz snifft?

Hallo,

ich habe meinen Snort so konfiguriert, dass er über Kabel in dem gleichen Netz ist wie das WLAN-Signal. Wenn der Snort angepingt wird, dann wird das auch gesnifft! Aber wenn ich ein Handy mit dem WLAN verbinde und das Handy sich über DHCP eine IP-Adresse bezieht, dann wird das nicht mitgesnifft. Obwohl ich meine Regel dementsprechend eingestellt habe.

Die Regel lautet:

alert udp any 68 -> any 67 (msg:"DHCP test detected"; GID:2; sid:10000002; rev:001; classtype:rpc-portmap-decode;)

alert udp any 67 -> any 68 (msg:"DHCP test detected"; GID:3; sid:10000003; rev:001; classtype:rpc-portmap-decode;)

Was muss ich umstellen oder wie muss eine neue Regel lauten, damit DHCP, wenn es vom Handy kommt, erkannt wird? Oder gibt es bereits Regeln, die auf Apple, Android und/oder WindowsPhones reagieren?

Grüße Mathias

Antwort
von Healzlolrofl, 18

Welche *.conf benutzt du? Eine modified oder von der snort Seite?

Kommentar von hoffenheim90 ,

Ich benutze die snort.conf datei und die regeln stehen in der local.rules

Kommentar von Healzlolrofl ,

Sprich? Standartdateien? Oder hast du diese selbst geschrieben?

Kommentar von hoffenheim90 ,

die snort.conf ist die standarddatei und die local.rules habe ich selber geschrieben. in der stehen momentan nur die beiden, oben aufgeführten, regeln

Aber natürlich habe ich die snort.conf so bearbeitet, dass die local.rules aufgerufen wird! das habe ich mit dem befehl "include $RULE_PATH/local.rules" realisiert! und die local.rules liegt im ordner /etc/snort/rules

Keine passende Antwort gefunden?

Fragen Sie die Community