有人会用snort嘛,如何验证snort的stream流重组和frag3的包重组
怎么验证,用什么方法?
比如验证stream流重组
snort.conf加载的插件这样:
preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
preprocessor stream5_tcp: policy first
(使用stream插件)
#preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp no
#preprocessor stream5_tcp: policy first
(不使用stream插件)
我尝试过使用tcpreplay发包去eth0然后snort -ieth0,用tcpdump去捕获包。捕获到的pcap包,进行打开分析。
然后发现好像使用和不使用stream插件捕获的pcap数据包都没有什么差别,感觉不能验证出是否重组了。