使用ET规则Snort pcap分析

Question

我试图通过使用snort和Emerging Threat打开规则来检测pcap中的恶意行为。下面是我做的：Snort安装2.9.6.0

下载https://rules.emergingthreats.net/open/snort-2.9.0/emerging.rules.tar.gz

• 并解压到/ etc /哼/规则
• 增加进口 “包括$ RULE_PATH/emerging.conf” 到snort.conf中

  snort -r pcap -c /etc/snort/snort.conf 
  

  ：
• 取消注释在emerging.conf所有规则

当我通过运行嗤之以鼻

我在输出中看不到任何警报。我知道pcap包含恶意流量，并有匹配的规则。这里缺失的是什么？

Answer 1

发现它，关键是要增加：即预测警报

-A console