Tenga en cuanta que snort le pide que configure la interfaz de red por la cual
desea escuchar el trafico. Para ver cual es su interfaz de red ejecute.
route -n
Para que no siga generando alertas a trafico con destino el equipo local.
Ahora vamos a crear alertas en el IDS (snort) que nos notificara cuando sucedan
los siguientes sucesos:
− Una alerta que detecte cuando se esté recibiendo mensajes icmp de timestap-
request.
alert icmp any any -> any any (itype: 13; msg:"Timestap-request
detectado";sid:1000001;)
− Una alerta que detecte cuando se esté recibiendo mensajes icmp de netmask-
request.
alert icmp any any -> any any (itype: 17; msg:"netmask-request
detectado";sid:1000002;)
− Una alerta que detecte cuando se esté enviando una petición http tipo POST a un
archivo .html.
Abrimos otra terminal para probar si las alertas estan bien configuradas usando el
nmap (herramienta de escaneo de red y puertos). El orden que seguiremos sera
para verficar las alerts creadas anteriormente.