[MASOCH-L] Ajuda com snort

[Rejaine Monteiro]

Olá lista,

Estou configurando o Snort aqui e gostaria de limitar a quantidade de
alertas repetidos gerados (para não ficar recebendo um monte de email
para uma mesma ocorrência)

Sendo assim, fiz a seguinte seguinte configuração:

# Global Threshold - Limit to logging 1 event per 60 seconds per IP
triggering any alert for any event generator
threshold gen_id 0, sig_id 0, type limit, track by_src, count 1, seconds 300

Mas parece que não está funcionando. Ou seja, continuando recebendo
inúmeros alertas repetidos para uma mesma ocorrência de mesma origem, um
atrás do outro, sem respeitar o limite de 300 segundos  (5 minutos)  
Esta correta a interpretação? Se sim, não está funcionando da forma que
eu esperava...

Estou usando snort em daemons separados, um para cada interface (cada um
recebeu um arquivo de configuração diferente, tipo snort.eth0.conf,
snort.eth1,conf) Todos os arquivos de configuração de interface existe
o  "include threshold.conf", com as configurações dos limites...

A principio achei que  ele  poderia estar gerando um alerta  a cada 5
minutos para cada interface monitorada (se eu monitorar duas interfaces,
ele poderia estar  gerando o mesmo alerta duas vezes a cada 5 minutos, e
por ai vai)  Mas mesmo monitorando apenas 1 interface por vez, u m
mesmo  alerta (mesma origem e ocorrência) é  gerado inúmeras vezes, para
uma mesma origem

Exemplo:


[**] [1:2181:4] P2P BitTorrent transfer [**]
[Classification: Potential Corporate Privacy Violation] [Priority: 1]
10/07-17:28:19.141273192.168.1.1:2086 -> 118.5.154.115:59016

[**] [1:2181:4] P2P BitTorrent transfer [**]
[Classification: Potential Corporate Privacy Violation] [Priority: 1]
10/07-17:28:28.946451 192.168.1.1:2087 -> 187.3.68.1:54500

[**] [1:2181:4] P2P BitTorrent transfer [**]
[Classification: Potential Corporate Privacy Violation] [Priority: 1]
10/07-17:28:28.946451 192.168.1.1:2087 -> 187.3.68.1:54500