Я пишу парсер строгих правил snort, и я хотел бы приспособить правила snort из популярных плагинов. В документации указано, что любое действие / тип возможно, потому что они могут быть определены плагинами. Тем не менее, я хотел бы иметь список известных действий для поиска, чтобы выдавать предупреждения пользователям.
В настоящее время мне известны следующие действия snort:
alert
log
pass
activate
dynamic
drop
sdrop
reject
Есть ли какие-то другие настраиваемые действия, которые вы используете или знаете?
Пользовательские действия определяются объявлениями типа правила в snort.conf; эти настраиваемые действия можно затем использовать в ваших правилах. Из файла snort.conf по умолчанию:
# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
# type log
# output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)
Поскольку типы правил могут быть полностью произвольными, имеет смысл проанализировать файл snort.conf для любых типов правил, определенных в первую очередь, а затем использовать это в хэше действий парсера правил или во всем, что нужно сопоставить.
Это может быть хорошей отправной точкой. Я не верю, что это по умолчанию.
block
и sblock
были добавлены в 2.9.0.5 (или около того). См. Подробности в руководстве. По сути, это зеркала для drop
и sdrop
.