Недавно установил Snort
на моем Ubuntu server 18.04
А также написал несколько правил в local.rules
. он отлично обнаружит мои правила, такие как пинг, простые атаки и т. д.
У меня 4 вопроса:
Как я могу заблокировать определенный IP-адрес в правилах обнаружения Snort? (например, в правилах обнаружения dos)
Сохраняет ли Snort какие-либо данные об обнаружении, такие как IP-адреса, содержимое и т. Д., В какой-либо базе данных? с участием apt-get install snort
, mysql
был установлен в.
Можно ли запустить скрипт на alert
?
Когда я использовал reject
действие и начать фырканье в console
режим я получил
В соединении отказано
ошибка ssh и невозможность входа в ssh до перезапуска сервера. Правило такое:
reject tcp any any -> $HOME_NET any (msg:"simple dos attack"; threshold:type both, count 50 , seconds 5 , track by_dst ; sid:1000001 )
Типичный способ сделать это - запустить Snort в Встроенный режим а затем измените правила snort, как показано в разделе «Отключение трафика» по ссылке выше.
RE: # 2 Snort войдет в /var/log/alert
(или аналогичный, см. конфигурацию snort), чтобы сообщить о том, что он обнаруживает.
RE: # 3 Там способы для запуска сценария по предупреждению, но вам нужно спланировать, что ваш сценарий будет вызываться 1000 раз в секунду, если snort запускается при резком потоке трафика.
RE: # 4 Не уверен. Нужна дополнительная информация