Suricata를 사용하여 침입 탐지 시스템 (IDS)을 설정하고 있습니다. 가상 컴퓨터에서 로그인 시도가 실패 할 때마다 경고를 생성하는 사용자 지정 규칙을 작성하려고합니다.snort/suricata를 사용하여 홈 네트워크에 로그인 할 때마다 SSH 경고를 생성하려고합니다.
예 :
경고 TCP 상관 없음 -> $ HOME_NET 22 (MSG : "SSH 브 루트 포스 시도"; 흐름 : 설립 to_server, 내용 : "SSH"; NOCASE, 오프셋 : 0; 깊이 : 4; detection_filter : 2 초, 2 카운트 by_src 추적, SID 2005; 레브 : 1) 나는 여러 함께 Suricata 경고 섹션에서 모든 경고를 볼 수있게 다양한 SSH 규칙 조합하지만 시도
나쁜 SSH 시도. (잘못된 시도 => 잘못된 암호를 사용하여 경고를 생성 함)
이 문제를 해결하는 방법을 알려주십시오.
원본 포트가 없어이 규칙은 "포트 값 누락"오류를 생성합니다. 'alert tcp $ EXTERNAL_NET any ->'로 시작해야합니다. –
감사합니다. 편집 권한이 있고 그와 같은 명백한 오타가 있으면 편집하십시오. :) –