Назад | Перейти на главную страницу

Защита от snort в Ubuntu 18.04

Недавно установил Snort на моем Ubuntu server 18.04 А также написал несколько правил в local.rules . он отлично обнаружит мои правила, такие как пинг, простые атаки и т. д.

У меня 4 вопроса:

  1. Как я могу заблокировать определенный IP-адрес в правилах обнаружения Snort? (например, в правилах обнаружения dos)

  2. Сохраняет ли Snort какие-либо данные об обнаружении, такие как IP-адреса, содержимое и т. Д., В какой-либо базе данных? с участием apt-get install snort , mysql был установлен в.

  3. Можно ли запустить скрипт на alert ?

  4. Когда я использовал reject действие и начать фырканье в console режим я получил

В соединении отказано

ошибка ssh и невозможность входа в ssh до перезапуска сервера. Правило такое:

reject tcp any any -> $HOME_NET any (msg:"simple dos attack"; threshold:type both, count 50 , seconds 5 , track by_dst ; sid:1000001 )

Типичный способ сделать это - запустить Snort в Встроенный режим а затем измените правила snort, как показано в разделе «Отключение трафика» по ссылке выше.

RE: # 2 Snort войдет в /var/log/alert (или аналогичный, см. конфигурацию snort), чтобы сообщить о том, что он обнаруживает.

RE: # 3 Там способы для запуска сценария по предупреждению, но вам нужно спланировать, что ваш сценарий будет вызываться 1000 раз в секунду, если snort запускается при резком потоке трафика.

RE: # 4 Не уверен. Нужна дополнительная информация