Quais são algumas das ações de regra comumente usadas no snort além dos padrões?

1

Estou escrevendo um analisador de regra snort estrito e gostaria de acomodar regras de snort de plugins populares. A documentação especifica que qualquer ação / tipo é possível porque eles podem ser definidos por plugins. No entanto, gostaria de ter uma lista de ações conhecidas para pesquisar para enviar avisos aos usuários.

Atualmente, conheço as seguintes ações do snort:

alert
log
pass
activate
dynamic
drop
sdrop
reject

Existem outras ações personalizadas que você usa ou conhece?

    
por Elijah 22.07.2009 / 02:34

3 respostas

2

Ações personalizadas são definidas por declarações de tipo de regra no snort.conf; Essas ações personalizadas podem ser usadas em suas regras. Do snort.conf padrão:

# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
#   type log
#   output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)

Como os tipos de regras podem ser completamente arbitrários, faz mais sentido analisar o arquivo snort.conf para quaisquer tipos de regras definidos primeiro e, em seguida, usá-los no hash de ação do analisador de regras ou o que for necessário.

    
por 06.08.2009 / 17:37
1

Este pode ser um bom ponto de partida. Eu não acredito que estes sejam o padrão.

link

    
por 01.08.2009 / 10:57
0

block e sblock foram adicionados em 2.9.0.5 (ou próximo disso). Veja o manual para detalhes. Eles são essencialmente espelhos para drop e sdrop .

    
por 31.05.2011 / 12:15