Назад | Перейти на главную страницу

Какие действия правил обычно используются в snort, кроме значений по умолчанию?

Я пишу парсер строгих правил snort, и я хотел бы приспособить правила snort из популярных плагинов. В документации указано, что любое действие / тип возможно, потому что они могут быть определены плагинами. Тем не менее, я хотел бы иметь список известных действий для поиска, чтобы выдавать предупреждения пользователям.

В настоящее время мне известны следующие действия snort:

alert
log
pass
activate
dynamic
drop
sdrop
reject

Есть ли какие-то другие настраиваемые действия, которые вы используете или знаете?

Пользовательские действия определяются объявлениями типа правила в snort.conf; эти настраиваемые действия можно затем использовать в ваших правилах. Из файла snort.conf по умолчанию:

# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
#   type log
#   output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)

Поскольку типы правил могут быть полностью произвольными, имеет смысл проанализировать файл snort.conf для любых типов правил, определенных в первую очередь, а затем использовать это в хэше действий парсера правил или во всем, что нужно сопоставить.

Это может быть хорошей отправной точкой. Я не верю, что это по умолчанию.

http://cvs.snort.org/viewcvs.cgi/snort/rules/

block и sblock были добавлены в 2.9.0.5 (или около того). См. Подробности в руководстве. По сути, это зеркала для drop и sdrop.