0
내가 연결 "세 방향 핸드 셰이크"를 사용하여 흡입 IDS의 설립 감지하는 규칙을 작성하는 것을 시도하고있다 :Snort 규칙은 세 방향 핸드 셰이크를 감지하는
경고 TCP를 10.10.10.10 어떤 -> 어떤 어떤
이 규칙으로 snort를 실행할 때마다 연결을 감지하지 못합니까? 구문 오류가 있습니까? 또는 아무것도 수정해야합니다! 이 구성에서 유일 않는
가 도움을
A
답변
0
을 주셔서 감사합니다, 당신은보다 999,999이 스 노트 팀의 사용을 위해 예약되어 해당 규칙의 ID를 기억해야한다/규칙 피드. Snort 문서에서 :
3.4.4 시드
의 SID 키워드는 고유 Snort 규칙을 식별하는 데 사용됩니다. 이 정보는 출력 플러그인이 규칙을 쉽게 식별 할 수있게합니다. 이 옵션은 rev 키워드와 함께 사용해야합니다.
100-999,999 규칙 현지 법률
당신이해야에 사용되는 스 노트 배포
(36) # 361000000에 포함 된 향후 사용을 위해
2 # 2100 예약 (섹션 [*]을 참조) 다음과 같이 규칙을 다시 작성하십시오.
alert tcp 10.10.10.10 any -> any any (sid:100000000; flags:S; msg:"SYN detect";)
SID가 다른 규칙의 규칙과 일치하면 unpr 예기치 않은 결과가 발생할 수 있습니다 (예 : 귀하의 규칙이 결코 실행되지 않는 것처럼 보임).
규칙에 아무런 문제가 없습니다. 'sid : 1000'은 규칙 중 하나입니까? –