Uso de decoder.rules & preproc.rules em Snort

0

Estou trabalhando com o snort. Durante a configuração, deparei com arquivos de regras, como decoder.rules e preproc.rules. Alguém pode me dizer o uso de habilitar essas regras no snort.conf?

    
por Lakshmi Balan 19.08.2016 / 08:32

1 resposta

0

Os decodificadores da Snort olham para a estrutura do pacote e recuperam coisas como cabeçalhos IP. Os pré-processadores são responsáveis por coisas como a reconstrução de pacotes fragmentados e o rastreamento de fluxos de protocolo, como o HTTP. Eles também são capazes de gerar alertas para pacotes formados de forma suspeita ou outras condições muito parecidas com regras regulares de snort.

Incluindo os arquivos preproc.rules e decoder.rules, é possível ativar os alertas incorporados nos decodificadores e pré-processadores que você pode ter carregado e ativado no snort.conf. Se as regras não estiverem incluídas, o snort desativa os alertas.

Versões mais antigas do snort permitiram esses alertas por padrão e os alertas necessários foram suprimidos se não fossem necessários, o que era mais difícil de gerenciar.

    
por 27.08.2016 / 07:36