snort 및 Emerging Threat Open 규칙을 사용하여 pcap의 악의적 인 동작을 탐지하려고합니다. 여기에 내가 무슨 짓을 : 은 2.9.6.0 다운로드 https://rules.emergingthreats.net/open/snort-2.9.0/emerging.rules.tar.gz SNORT 설치 및/etc/흡입/규칙 추가 가져 오기 "$
상황 : 공격자가 일치하지 않는 콘텐츠 크기를 가진 잘못된 HTTP 패킷을 실제 콘텐츠 크기로 보내는 공격이 있습니다. 이러한 패킷을 꺼내기 위해 Snort 규칙을 작성해야합니다. 문제점 : 내가 아는 한, Snort는 사용자가 Snort 변수/값 (예 : "dsize")을 사용하여 규칙 집합을 정의하는 것을 허용하지 않습니다. 예를 들면 다음과 같습니다.
내가 연결 "세 방향 핸드 셰이크"를 사용하여 흡입 IDS의 설립 감지하는 규칙을 작성하는 것을 시도하고있다 : 경고 TCP를 10.10.10.10 어떤 -> 어떤 어떤 이 규칙으로 snort를 실행할 때마다 연결을 감지하지 못합니까? 구문 오류가 있습니까? 또는 아무것도 수정해야합니다! 이 구성에서 유일 않는 가 도움을
Suricata를 사용하여 침입 탐지 시스템 (IDS)을 설정하고 있습니다. 가상 컴퓨터에서 로그인 시도가 실패 할 때마다 경고를 생성하는 사용자 지정 규칙을 작성하려고합니다. 예 : 경고 TCP 상관 없음 -> $ HOME_NET 22 (MSG : "SSH 브 루트 포스 시도"; 흐름 : 설립 to_server, 내용 : "SSH"; NOCASE, 오프셋
처음으로 Snort 사용자와 두 가지 문제가 있습니다. Windows 10 컴퓨터에 설치 한 후 승격 된 명령 프롬프트를 통해 snort를 초기화 할 수 있습니다. snort -A console. snort가 실행되는 동안 나는 경고 : 정책 0에 대해 구성된 사전 처리기가 없음을 알았습니다. "이 콘솔 출력에 혼합되었습니다. 빠른 Stackoverflow
예를 들어 sfportscan 전처리 기와 같은 것이있을 때 scan.rules이 필요한 이유는 무엇입니까? 전처리 기가 모든 활동을 탐지 할 수 없기 때문에 네트워크 공격의 잘 알려진 서명이있는 규칙을 사용하여 엔진을 탐지하고 일치를 찾으려고합니까? 하지만 preproc 규칙도 있습니다. 그래서 저는 지금 혼란 스럽습니다. 전처리 기는 자체 규칙을 사용하