Snort non rilevare il traffico in output

Sto utilizzando Snort 2.9 su Windows Server 2008 R2 x64, con una configuration molto semplice che va come questo:

# Entire content of Snort.conf: alert tcp any any -> any any (sid:5000000; content:"_secret_"; msg:"TRIGGERED";) # command line: snort.exe -c etc/Snort.conf -l etc/log -A console 

Utilizzando il mio browser, invio la string "_secret_" nell'URL al mio server (where si trova Snort). Esempio: http://myserver.com/index.php?_secret_

Snort lo riceve e lancia un allarme, funziona, nessun problema! Ma quando provo qualcosa di simile:

 <?php // (index.php) header('XTest: _secret_'); // header echo '_secret_'; // data ?> 

Se solo chiedo http://myserver.com/index.php , non funziona o rileva nulla dal traffico in output anche se il file php sta inviando la stessa string sia nelle intestazioni che nei dati, senza compressione / codifica o di sorta. (Ho controllato utilizzando Wireshark)

Questo mi sembra un problema di Snort. Non import ciò che faccio solo rileva i pacchetti ricevents. Qualcuno ha mai affrontato questo tipo di problemi con Snort? Hai qualche idea su come aggiustarlo ?

    3 Solutions collect form web for “Snort non rilevare il traffico in output”

    Dopo 6 ore dolorose di provare tutto, ho finalmente risolto!

    Basta aggiungere -k none alla linea di command.

    Per qualche motivo, nel mio pc desktop funziona senza il -k none parametro. Se qualcuno cura di spiegare cosa sta succedendo, sarebbe molto utile. Grazie.

    A volte il snaplen ( -P ) potrebbe anche essere un problema. Aumenta il valore (impostazione predefinita è la dimensione dell'MTU) e riceverai un sacco di dati.

    Sembra che il rilascio del checksum sta causando il problema.

    Lo scarico del check-sum consente alla NIC di calcolare il checksum TCP, salvando la CPU dal wherer eseguire il calcolo. La NIC esegue each calcolo appena prima di submit un pacchetto e, purtroppo, Snort può catturare un pacchetto locale prima del calcolo. Di conseguenza, la verifica di checksum interna di Snort vede un checksum di 0 (dato che non è stato ancora fatto), lo interpreta come un checksum difettoso e non analizza ulteriormente il pacchetto.

    È per questo che l'aggiunta dell'opzione -k none a snort.exe lo aggiusta; distriggers la verifica di checksum interna di Snort, consentendo così di analizzare i pacchetti.

    Proprio in questo modo si è consapevoli, è ansible verificare e disabilitare il checksum offloading , ma poiché esiste un rischio di performance per questo, penso che la soluzione -k sia migliore.

      Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.