23,120
社区成员
发帖
与我相关
我的任务
分享有人会用snort嘛,如何验证snort的stream流重组和frag3的包重组
怎么验证,用什么方法?
比如验证stream流重组
snort.conf加载的插件这样:
preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
preprocessor stream5_tcp: policy first
(使用stream插件)
#preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
#preprocessor stream5_tcp: policy first
(不使用stream插件)
我尝试过使用tcpreplay发包去eth0然后snort -ieth0,用tcpdump去捕获包。捕获到的pcap包,进行打开分析。
然后发现好像使用和不使用stream插件捕获的pcap数据包都没有什么差别,感觉不能验证出是否重组了。
比如验证stream流重组
snort.conf加载的插件这样:
preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
preprocessor stream5_tcp: policy first
(使用stream插件)
#preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
#preprocessor stream5_tcp: policy first
(不使用stream插件)
我尝试过使用tcpreplay发包去eth0然后snort -ieth0,用tcpdump去捕获包。捕获到的pcap包,进行打开分析。
然后发现好像使用和不使用stream插件捕获的pcap数据包都没有什么差别,感觉不能验证出是否重组了。
...全文
请发表友善的回复…
发表回复
qq_15397179 2017-08-25
- 打赏
- 举报
而两张图内容不一样,我认为是tcpreplay和tcpdump和snort之中,包发漏了
qq_15397179 2017-08-25
- 打赏
- 举报
第一张use.pcap是使用了stream插件
第二张havent_use.pcap是没有使用stream插件
qq_15397179 2017-08-25
- 打赏
- 举报
