0
예를 들어 sfportscan 전처리 기와 같은 것이있을 때 scan.rules이 필요한 이유는 무엇입니까? 전처리 기가 모든 활동을 탐지 할 수 없기 때문에 네트워크 공격의 잘 알려진 서명이있는 규칙을 사용하여 엔진을 탐지하고 일치를 찾으려고합니까? 하지만 preproc 규칙도 있습니다. 그래서 저는 지금 혼란 스럽습니다. 전처리 기는 자체 규칙을 사용하며,이 사전 규칙 중 일치하는 항목이없는 경우 일반 규칙이 있습니까?snort의 규칙의 목적
감사합니다.
Preproc은 패킷 재구성, 디코딩 및 src 및 dst ip 구조의 정렬을 통해 규칙의 활동을 돕습니다. http://seclists.org/snort/2008/q2/26을 참조하십시오. –
하지만 전처리 기가 자체적으로 경고를 생성합니까, 아니면 규칙이 필요하며 언제 preprocessor.rule가 사용됩니까? – uppermost