Назад | Перейти на главную страницу

Настройка правил Snort: лавинная рассылка сообщений TCP / IP COMMUNITY SIP, направленная на прокси-сервер SIP

Это обычная проблема в Snort, но я не уверен, почему это правило вообще срабатывает.

Приведенное ниже правило взято из репозиториев Debian. По-видимому, он предназначен для срабатывания, когда на порт 5060 более 300 обращений, и будет предупреждать только один раз каждые 60 секунд, если это продолжается.

/etc/snort/rules/community-sip.rules (пробелы добавлены, другие правила удалены):

...
alert ip any any -> any 5060 (
  msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy";
  threshold: type both, track by_src, count 300, seconds 60;
  classtype:attempted-dos;
  sid:100000160;
  rev:2;
)
...

http://manual.snort.org/node35.html

Но правило, похоже, срабатывает на вещах, которые вообще не имеют ничего общего с портом 5060. Например, вот предупреждение:

например., 

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2] 
08/06-12:19:07.399163 1.2.3.4:61253 -> 5.6.7.8:22
TCP TTL:55 TOS:0x10 ID:59727 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xE2B759E9  Ack: 0xB01D0B90  Win: 0xFFFF  TcpLen: 32
TCP Options (3) => NOP NOP TS: 129954676 287277196

Некоторые поисковые запросы показывают, что люди говорят «это плохое правило», но я не понимаю, как это сделать.

Я думаю, что получил этот. Информации о "IP-адресе предупреждения" и номерах портов в документации на snort.org я не нашел.

Следующее говорит о том, что это распространенная ошибка при создании правил snort:

http://leonward.wordpress.com/2009/06/07/dumbpig-automated-checking-for-snort-rulesets/

Я исправил это, продублировав правило, указав TCP и UDP и изменив SID правил. Я повторил это для нескольких правил в файле community-sip.rules.

например., 

alert tcp any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy"; threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:900000160; rev:2;)
alert udp any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy"; threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:910000160; rev:2;)

Теперь предупреждения тихие. Некоторые правила тестирования (с меньшим числом) срабатывают правильно, когда я их проверяю.