【问题标题】:Snort rule to detect a three-way handshake检测三次握手的 Snort 规则
【发布时间】:2017-12-08 23:16:03
【问题描述】:

我一直在尝试编写一个规则来检测使用 snort IDS 建立的连接“三次握手”:

alert tcp 10.10.10.10 any -> any any (sid:1000; flags:S; msg:"SYN detect";)

每次我使用此规则运行 snort 时,它都不会检测到连接?有没有语法错误!!或者应该修改任何东西!

感谢帮助

【问题讨论】:

  • 你的规则没有问题。 sid:1000 只是规则之一吗?

标签: networking firewall rules traffic snort


【解决方案1】:

除非这是配置中的唯一内容,否则您必须记住,小于 999,999 的规则 ID 保留供 Snort 团队/规则提要使用。来自Snort 文档:

3.4.4 sid

sid 关键字用于唯一标识 Snort 规则。此信息允许输出插件轻松识别规则。此选项应与 rev 关键字一起使用。 (参见第 [*] 节)

2#2100 保留以供将来使用

Snort 发行版中包含 100-999,999 条规则

36#361,000,000 用于本地规则

你应该把你的规则改写成这样:

 alert tcp 10.10.10.10 any -> any any (sid:100000000; flags:S; msg:"SYN detect";)

如果您的 SID 与另一条规则的 SID 匹配,则可能会出现不可预知的结果(例如,您的规则似乎永远不会触发)。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2023-03-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-07-08
    相关资源
    最近更新 更多