Каковы некоторые из наиболее часто используемых действий правил в snort, кроме значений по умолчанию?
Я пишу строгий анализатор правил фырканья, и я хотел бы приспособить правила фырканья из популярных плагинов. В документации указано, что возможно любое действие / тип, потому что они могут быть определены с помощью плагинов. Тем не менее, я хотел бы иметь список известных действий для поиска, чтобы выдавать предупреждения пользователям.
В настоящее время я знаю о следующих действиях snort:
alert
log
pass
activate
dynamic
drop
sdrop
reject
Существуют ли другие пользовательские действия, которые вы используете или знаете?
3 ответа
Пользовательские действия определяются объявлениями правил в snort.conf; эти пользовательские действия могут быть использованы в ваших правилах. Из стандартного snort.conf:
# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
# type log
# output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)
Поскольку типы правил могут быть совершенно произвольными, имеет больше смысла анализировать файл snort.conf для любых определенных типов правил, а затем использовать его в хэше действия парсера правил или в любом другом месте для сопоставления.
Это может быть хорошей отправной точкой. Я не верю, что это по умолчанию.
block а также sblock были добавлены в 2.9.0.5 (или около того). Смотрите руководство для деталей. Они по сути являются зеркалами для drop а также sdrop,