【问题标题】:Snort Rules Configuration IssueSnort 规则配置问题
【发布时间】:2015-11-10 19:28:13
【问题描述】:

我是新来的snort,所以希望你能帮助我。我正在尝试通过 local.rules 文件在 snort 中创建自己的规则。我已经通过 Virtual box 在 Windows 7 上安装了 snort。我的配置似乎工作正常,因为我可以使用字符串 -T 对其进行测试,并且工作正常。此外,当我在附加的名为 snort 规则的截图中运行前三个简单规则时,它们工作正常,我的问题是当我尝试纠正一个特定规则时,在这种情况下,当下载比特洪流时记录该规则,但我是得到所有这些 http_inspect 错误。不确定它们是什么,以及我是否在 snort.conf 文件中遗漏了某些内容。我还没有触及 snort.conf 中的预处理器设置。我得到的错误也附在截图 Snort 输出中。我正在运行的规则语法是 snort -i 1 -c c:\snort\etc\snort.conf -A 控制台。该规则正在日志文件夹中记录,并且我还附加了wireshark输出。对此的任何帮助将不胜感激。

谢谢 加雷斯

【问题讨论】:

    标签: snort


    【解决方案1】:

    来自 http_inspect 的消息根本不是您的配置错误或错误,它们是来自流量触发的预处理器规则的消息。具体规则 120:3:1 (GID = 120, SID = 3, REV = 1)。 GID 120 规则特定于来自 http 预处理器的 http 服务器检查。当 http_inspect 预处理器检测到异常网络流量时,此规则会生成一个事件。此规则的消息是“NO CONTENT-LENGTH 或 TRANSFER-ENCODING”。该规则正在查看的是服务器响应标头。它可能会发出警报,因为响应标头中没有“Content-Length”标头或“Transfer-Encoding”标头。

    这里是一个http服务器响应头的例子:

    接受范围:字节
    内容长度:67023552
    内容类型:应用程序/x-apple-diskimage
    日期:格林威治标准时间 2016 年 3 月 10 日星期四 05:32:31
    服务器:下载
    状态:200

    服务器响应中应该始终有一个内容长度标头,因为它告诉客户端此请求有多少数据。当数据的实际长度与内容长度标头中显示的不同时,客户端应该丢弃它并抛出错误。如果没有 content-length 标头,则客户端不知道将要发送多少数据,并且无法验证它是否获得了此请求的所有数据。如果服务器响应中缺少此标头,则 snort 将生成您看到的规则,因为这是异常流量。它也可能缺少 transfer-encoding 标头。在上面的示例中,您会注意到没有传输编码,因此如果服务器响应标头看起来像上面那样,snort 将生成此规则。很多http响应中没有传输编码头,这是正常的。我相信这些规则是在您拥有“extended_response_inspection”并且文本规则设置为警报时生成的(您是否有一个 preprocessor.rules 文件 snort 正在拾取,或者您的任何规则文件中是否有此规则?)。此选项在http server configuration options 的 snort 手册中进行了说明。如果您不关心这些警报,您可以从规则文件中删除 gid 规则。如果您的规则文件中没有这些规则,那么您可以将“no_alerts”选项添加到 http 服务器配置。来自此选项的 snort 手册:

    “此选项关闭由 HTTP Inspect 预处理器模块生成的所有警报。这对规则集中的 HTTP 规则没有影响。未指定任何参数。”

    如果规则是由该选项生成的,您还可以从 http 配置中删除 extended_response_inspection 选项。

    【讨论】:

      【解决方案2】:

      看起来您的 tcp 配置缺少客户端/服务器/两者 端口和 80 之间的关键字。因此,80 正在丢失并且 仅 8080 将重新组装设置为两者。在配置文件中更改为:

                        preprocessor stream5_tcp: policy first, ports 80 8080
      

      这意味着每个 HTTP 端口都需要在 stream5_tcp 预处理器中列出,而这不是 强制执行。

      有关设置 snort 的更多信息,请访问以下链接: https://www.talentcookie.com/2015/05/snort-how-does-it-work/ https://www.talentcookie.com/2015/05/snort-an-open-source-ids-in-freebsd-10-or-above/ https://www.talentcookie.com/2015/10/snort-performance-is-your-snort-working-fast-enough/

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2022-12-23
        • 1970-01-01
        • 1970-01-01
        • 2022-08-04
        相关资源
        最近更新 更多