このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

Snortにてアラートが急に上がらなくなる このメッセージに返信する
日時: 2013/02/27(Wed) 15:22
名前: masa
URL:
皆様。

お世話になります。
masaと申します。

タイトルの件について、本来であればこの場所で質問するのは間違っているかもしれませんが、
どなたか何かご存知であれば、と思いまして質問させていただきました。

お手数ではございますが、以下質問について、何か参考となる情報をお持ちでございましたら、
ご連絡頂けませんでしょうか。

-----
現在、CentOS(ver6.2)にてSnort(ver2.9.2.3)を動作しております。
トラフィックのキャプチャについては、スイッチにてミラーリングを行うことによって
取得しております。

先日、そのスイッチについて、老朽化により交換を実施いたしました。
機器交換後、交換前まで定常的に検知していた(30分から1時間おき)アラートが
全く上がらなくなりました。

Snort側は全く設定変更を行っておりません。
また、以下のテストアラートを設定いたしましたところ、問題無く検知しております。

alert tcp any any -> any any (msg:"TCP traffic";)

スイッチについては、交換前後で機器仕様が異なりますが(同一メーカの後継機種)、
ネットワーク構成に変更は無く、変更点を挙げるとすれば、各ポートの帯域が10/100Mbpsから10/100/1000Mbpsに変更になったぐらいになります。

スイッチ交換前後でタイミング良く急にトラフィックの傾向が変化したとも考えにくいですし、
この状況下では恐らくスイッチの方でミラーリングの仕様が変わってしまったために
アラートが上がらなくなったと推測しておりますが、何かSnortの方でも変更が必要な箇所が
ございますでしょうか。

-----

以上、よろしく御願い申し上げます。
記事編集 編集
Re: Snortにてアラートが急に上がらなくなる このメッセージに返信する
日時: 2013/03/15(Fri) 19:15
名前: masa
URL:
masaです。

本件、無事解決いたしました。

やはり、スイッチのミラーリングの動作仕様が変わっていたため、
何も検知されない状態でした。

今回、解決までに時間を要しましたが、その分多少なりともSnortについて
詳しくなりましたので、それはそれで良かったかなぁって思ってます。

何もコメントを頂くことはありませんでしたが、
皆様、ご協力有難うございました。
記事編集 編集
オークリー サングラス アウトレット このメッセージに返信する
日時: 2013/07/30(Tue) 15:48
名前: 747000
URL: http://oakleysunglasseshot.tumblr.com/
SONY VAIOノート VGC-LB93HS起動はするが動作を受け付けませんシステムの復元・リカバリできません(おそらくシステムエラー、リカバリ領域が壊れておりHDエラーの可能性も高いそうです)外部損傷はなし付属品はACアダプタ・取扱説明書のみ [url=http://oakleysunglasseshot.tumblr.com/]オークリー サングラス アウトレット[/url] <a href="http://oakleysunglasseshot.tumblr.com/" title="オークリー サングラス アウトレット">オークリー サングラス アウトレット</a>
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -