나는 snort를 IPS로 실행하려고합니다. 그래서 난을 통해 우분투 서버에 콧김을 설치 apt-get을하고 설정 daq_type afpacket 로하고 daq_mode로 인라인. 및 2 인터페이스 eth1에 같은 : eth2를 는 나는 그것이 작동 테스트snort ips 규칙 - 작업 거부 및 드롭 및 작업을하지 마십시오
reject tcp any any -> any any (sid: 1000005;)
에 대한 규칙을 작성하지만 난
drop tcp any any -> any any (sid: 1000005;)
로 변경할 때 작동하지 않습니다. 그리고 내가 행동을 sdrop로 바꿀 때 그 결과는 똑같습니다. 그리고 소스에서 snort를 설치했지만 그 결과는 같았습니다. 진정한 규칙을 작성하는 데 도움을 줄 수 있습니까?
Snort는 탭 (수동), 인라인 및 인라인 테스트의 세 가지 모드로 작동 할 수 있습니다. 드롭 규칙을 사용하여 패킷을 삭제하려는 경우 인라인 모드로 실행해야합니다. 외형은 인라인 모드가 아닙니다. "reject"가 작동하는 이유는 TCP에 대한 재설정을 보내서 스트림의 나머지 부분을 중지 시키거나 UDP에 대해 ICMP 포트 도달 불가능 메시지를 다시 전송하기 때문입니다. 블록 및 로그
가 거부 패킷을 - -
드롭 패킷을 차단을 기록하고 프로토콜이 TCP 인 경우 다음 TCP 재설정을 보내 규칙 헤더에 흡입 설명서 (http://manual.snort.org/node29.html)에서 다음 설명을 참조하십시오 또는 프로토콜이 UDP 인 경우 ICMP 포트 도달 불가능 메시지입니다.
sdrop - 패킷을 차단하지만 기록하지 않습니다.
snort가 인라인 모드에서 실행되고 있지 않으면 실제로 패킷을 삭제하지 않고 방금 경고를 생성하고 패킷을 전달합니다.
은 3 개 가지 모드의 흡입 설명서에서 다음 참조 : http://manual.snort.org/node11.html#SECTION00295100000000000000 다음과 같이 구체적으로는, 인라인 모드가 설명되어 Snort는 인라인 모드에있을 때
가그것은 드롭 규칙을 트리거하도록 허용하는 IPS로서 작용한다. 당신이 한 snort.conf입니다에서 :
snort -Q
config policy_mode:inline
당신은 확실히 라인 "인라인을 구성 policy_mode"를 만들 필요가 다음과 같이 Snort는 명령 행 인수 -Q를 사용하여 인라인 모드에서 실행 및 설정 옵션 policy_mode을 흡입하게하도록 구성 할 수 있습니다 snort를 실행할 때 "-Q"옵션을 전달합니다. 이 두 가지를 모두 수행하지 않으면 삭제되지 않습니다. 희망이 도움이!
아래의 user5670635처럼 Windows에서 인라인 모드를 활성화하려면 어떻게해야합니까? –
도움을 드릴 신체가 없습니다. –