比如验证stream流重组
snort.conf加载的插件这样:
preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
preprocessor stream5_tcp: policy first
(使用stream插件)
#preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
#preprocessor stream5_tcp: policy first
(不使用stream插件)
我尝试过使用tcpreplay发包去eth0然后snort -ieth0,用tcpdump去捕获包。捕获到的pcap包,进行打开分析。
然后发现好像使用和不使用stream插件捕获的pcap数据包都没有什么差别,感觉不能验证出是否重组了。
3 个解决方案
#1
#2
第一张use.pcap是使用了stream插件
第二张havent_use.pcap是没有使用stream插件
第二张havent_use.pcap是没有使用stream插件
#3
而两张图内容不一样,我认为是tcpreplay和tcpdump和snort之中,包发漏了
#1
#2
第一张use.pcap是使用了stream插件
第二张havent_use.pcap是没有使用stream插件
第二张havent_use.pcap是没有使用stream插件
#3
而两张图内容不一样,我认为是tcpreplay和tcpdump和snort之中,包发漏了