Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - nickthegreat

Pages1
#1
Intrusion Detection and Prevention / Re: on 19.7.2: still no alerts in alert tab (no pp... on WAN!)
August 27, 2019, 04:00:05 AM
Well, FWIW - I was wondering if for some reason suricata wasn't properly receiving or processing the packets, but clearly it is running the packets through the basic protocol filters.  I'm surprised that I've seen this on three installations and more people aren't reporting the same...

------------------------------------------------------------------------------------
Date: 8/26/2019 -- 00:00:07 (uptime: 1d, 16h 40m 01s)
------------------------------------------------------------------------------------
Counter                                       | TM Name                   | Value
------------------------------------------------------------------------------------
capture.kernel_packets                        | Total                     | 33143371
decoder.pkts                                  | Total                     | 33143371
decoder.bytes                                 | Total                     | 34668938813
decoder.ipv4                                  | Total                     | 31763845
decoder.ipv6                                  | Total                     | 73391
decoder.ethernet                              | Total                     | 33143371
decoder.tcp                                   | Total                     | 31052819
decoder.udp                                   | Total                     | 725908
decoder.icmpv4                                | Total                     | 1949
decoder.icmpv6                                | Total                     | 53203
decoder.avg_pkt_size                          | Total                     | 1046
decoder.max_pkt_size                          | Total                     | 1514
flow.tcp                                      | Total                     | 71529
flow.udp                                      | Total                     | 63976
flow.icmpv4                                   | Total                     | 173
flow.icmpv6                                   | Total                     | 6375
decoder.ipv4.opt_pad_required                 | Total                     | 3357
decoder.ipv6.zero_len_padn                    | Total                     | 1844
decoder.tcp.opt_invalid_len                   | Total                     | 2
tcp.sessions                                  | Total                     | 70790
tcp.invalid_checksum                          | Total                     | 3
tcp.syn                                       | Total                     | 77920
tcp.synack                                    | Total                     | 52316
tcp.rst                                       | Total                     | 48878
tcp.pkt_on_wrong_thread                       | Total                     | 23061815
tcp.stream_depth_reached                      | Total                     | 668
tcp.overlap                                   | Total                     | 1574135
tcp.overlap_diff_data                         | Total                     | 137
app_layer.flow.http                           | Total                     | 4728
app_layer.tx.http                             | Total                     | 32524
app_layer.flow.ftp                            | Total                     | 2
app_layer.flow.tls                            | Total                     | 29701
app_layer.flow.enip                           | Total                     | 1
app_layer.flow.ntp                            | Total                     | 3062
app_layer.flow.tftp                           | Total                     | 4
app_layer.flow.ikev2                          | Total                     | 10
app_layer.flow.dhcp                           | Total                     | 683
app_layer.flow.failed_tcp                     | Total                     | 15552
app_layer.flow.dns_udp                        | Total                     | 46173
app_layer.tx.dns_udp                          | Total                     | 106403
app_layer.tx.enip                             | Total                     | 1
app_layer.tx.ntp                              | Total                     | 3301
app_layer.tx.tftp                             | Total                     | 4
app_layer.tx.ikev2                            | Total                     | 20
app_layer.flow.krb5_udp                       | Total                     | 2
app_layer.tx.dhcp                             | Total                     | 1659
app_layer.flow.failed_udp                     | Total                     | 14041
flow_mgr.closed_pruned                        | Total                     | 49647
flow_mgr.new_pruned                           | Total                     | 40639
flow_mgr.est_pruned                           | Total                     | 51538
flow.spare                                    | Total                     | 10000
flow.tcp_reuse                                | Total                     | 1
flow_mgr.flows_checked                        | Total                     | 1
:
#2
Intrusion Detection and Prevention / Re: on 19.7.2: still no alerts in alert tab (no pp... on WAN!)
August 23, 2019, 11:25:40 PM
Also, I should have mentioned that all three firewalls are new installs, this week, so all 19.7.2, and since they're new, I have no history of them ever working.
#3
Intrusion Detection and Prevention / Re: on 19.7.2: still no alerts in alert tab (no pp... on WAN!)
August 23, 2019, 11:10:00 PM
I am seeing the same thing.  I have three running OpnSense installations, 2 physical and 1 virtual (ProxMox/Qemu).  Each of them I have tried to enable some of the key ET IPS rules, and like you I have it in IPS mode.  I don't see ANY alerts, and whenever I stop/restart a the service I see logs that say millions of packets were inspected, but none were dropped.

Aug 23 17:07:34    suricata: [100204] <Warning> -- [ERRCODE: SC_WARN_DEFAULT_WILL_CHANGE(317)] - in 5.0 the default for decoder event stats will go from 'decoder.<proto>.<event>' to 'decoder.event.<proto>.<event>'. See ticket #2225. To suppress this message, set stats.decoder-events-prefix in the yaml.
Aug 23 17:07:34    suricata: [100096] <Notice> -- This is Suricata version 4.1.4 RELEASE
Aug 23 17:07:34    suricata: [100080] <Notice> -- Stats for 'em1+': pkts: 7798, drop: 0 (0.00%), invalid chksum: 0
Aug 23 17:07:34    suricata: [100080] <Notice> -- Stats for 'em1': pkts: 10818, drop: 0 (0.00%), invalid chksum: 0
Aug 23 17:07:34    suricata: [100080] <Notice> -- Stats for 'em0+': pkts: 4696, drop: 0 (0.00%), invalid chksum: 0
Aug 23 17:07:34    suricata: [100080] <Notice> -- Stats for 'em0': pkts: 6633, drop: 0 (0.00%), invalid chksum: 0
Aug 23 17:07:33    suricata: [100080] <Notice> -- Signal Received. Stopping engine.
Aug 23 16:58:20    suricata: [100080] <Notice> -- all 4 packet processing threads, 4 management threads initialized, engine started.

I have mine running in promiscuous mode since I am monitoring multiple interfaces.  Glad to see I'm not the only one with this issue. 
Pages1