<div dir="ltr"><div>Although I am new to snort as well I might be able to answer a part of this.  If you are capturing on en0 and you ping localhost those are not the same interfaces so snort is not going to see this.  localhost is lo and most if not all traffic to localhost ( or 127.0.0.1 ) never hits the network.<br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 15, 2015 at 7:46 AM, May Smith <span dir="ltr"><<a href="mailto:may24x@...131..." target="_blank">may24x@...131...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="color:#000;background-color:#fff;font-family:HelveticaNeue,Helvetica Neue,Helvetica,Arial,Lucida Grande,sans-serif;font-size:16px"><div dir="ltr">Hi all,</div><div dir="ltr"><br></div><div dir="ltr">I'm pretty new to snort and have managed to deploy it along with barnyard2 and Snorby on a test VM (CentOS7 64Bit)<br></div><div dir="ltr">Now it's time to configure the components so they'll work together.</div><div dir="ltr"><br></div><div dir="ltr">starting with snort, I realized some strange behaviors, which I'm unsure are fault or feature ... ;)</div><div dir="ltr"><br></div><div dir="ltr">My config regarding the Networ-to-monitor is:</div><div dir="ltr"># Setup the network addresses you are protecting<br>ipvar HOME_NET <a href="http://192.168.187.130/30" target="_blank">192.168.187.130/30</a><br><br># Set up the external network addresses. Leave as "any" in most situations<br>ipvar EXTERNAL_NET !$HOME_NET<br></div><div dir="ltr"><br></div><div dir="ltr">I've another (virtual) machine listening to 192.168.178.135 and - for testing purposes - created the following rules:</div><div dir="ltr">alert tcp any any -> any 22 (msg:"ssh access";sid:1000003;)<br>alert icmp 192.168.187.130 any -> any any (msg:"pings detected";sid:1000002;)</div><div dir="ltr"><br></div><div dir="ltr">(for testing) my command line to start snort is: snort -A console -i eno16777736 -u snort -g snort -c /etc/snort/snort.conf<br></div><div dir="ltr"><br></div><div dir="ltr">1. when I ping 'localhost', host is reachable but snort recognize nothing.</div><div dir="ltr">2. when I ping 192.168.187.135, host is reachable but snort recognize nothing.</div><div dir="ltr">3. when I ping <a href="http://google.com" target="_blank">google.com</a> host is reachable and snort shows: 04/15-07:34:46.978754  [**] [1:1000002:0] pings detected [**] [Priority: 0] {ICMP} 192.168.187.130 -> 98.138.253.109</div><div dir="ltr"><br></div><div dir="ltr">Why ?</div><div dir="ltr"><br></div><div dir="ltr">Almost the same behavior with ssh. localhost and 192.168.187.135 doesn't show anything. <br></div><div dir="ltr">Loggin to another host ... fist doesn't show anything ... but when the session is closed, I see:</div><div dir="ltr">04/15-07:37:20.656375  [**] [1:1000003:0] ssh access [**] [Priority: 0] {TCP} <a href="http://192.168.187.130:33760" target="_blank">192.168.187.130:33760</a> -> xxx.xxx.xxx.xxx:22<br></div><div dir="ltr"><br></div><div dir="ltr">I'd expected that snort would alert the moment someone triggers a ssh connection ... and not to wait until the ssh session is closed !</div><div dir="ltr"><br></div><div dir="ltr">I've enabled unified logging in /etc/snort/snort.conf, but all I see in /var/log snort is:</div><div dir="ltr"><br></div><div dir="ltr">/var/log/snort > ls -la<br><br>drwxr-xr-x   2 snort snort   34 15. Apr 07:28 .<br>drwxr-xr-x. 23 root  root  4096 15. Apr 06:24 ..<br>-rw-r--r--   1 snort snort     0 15. Apr 06:24 alert<br>-rw-------   1 snort snort    0 15. Apr 07:37 snort.log</div><div dir="ltr"><br></div><div dir="ltr">Why ?</div><div dir="ltr"><br></div><div dir="ltr">config entries are: <br># unified2 <br># Recommended for most installs<br>output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types<br><br># Additional configuration for specific types of installs<br>output alert_unified2: filename snort.alert, limit 128, nostamp<br>output log_unified2: filename snort.log, limit 128, nostamp </div><div dir="ltr"><br></div><div dir="ltr">can you help me out ?</div><div dir="ltr"><br></div><div dir="ltr">regards</div><span class="HOEnZb"><font color="#888888"><div dir="ltr">May<br></div><div dir="ltr"><br></div><div dir="ltr"><br></div></font></span></div></div><br>------------------------------------------------------------------------------<br>
BPM Camp - Free Virtual Workshop May 6th at 10am PDT/1PM EDT<br>
Develop your own process in accordance with the BPMN 2 standard<br>
Learn Process modeling best practices with Bonita BPM through live exercises<br>
<a href="http://www.bonitasoft.com/be-part-of-it/events/bpm-camp-virtual-" target="_blank">http://www.bonitasoft.com/be-part-of-it/events/bpm-camp-virtual-</a> event?utm_<br>
source=Sourceforge_BPM_Camp_5_6_15&utm_medium=email&utm_campaign=VA_SF<br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div><br></div><div>                Tomas Hajek</div><div>                <a href="mailto:hajek@...6518..." target="_blank">hajek@...6518...</a></div><div>                1-248-370-3505</div><div>                Senior Linux Systems Engineer</div><div>                University Technology Services</div><div>                Oakland University</div></div>
</div>