Snort - hjälp med att skriva regel

Trädvy Permalänk
Medlem
Plats
Fääjjestaun
Registrerad
Feb 2007

Snort - hjälp med att skriva regel

(Ber om ursäkt om tråden ligger fel)

Har börjat pilla med Snort och skulle behöva ha hjälp att skriva en regel. Tyvärr har jag ingen erfarenhet alls av det och behöver därför hjälp. Regeln ska kontrollera HTTP-paket och se hur många mellanslag det är vid Keep-Alive i HTTP-headern. Jag har lyckats skriva en regel med "action:et" alert:

alert tcp any any > any $HTTP_PORTS (msg:"xxx"; content:"Keep-Alive: "; sid:xxx;)

Med ovanstående regel aktiverat och Snort igång skriker den till när ett HTTP-paket kommer in med två mellanslag efter Keep-Alive:-delen. Men jag vill kasta paketet när de matchas! Därför ändrade jag till drop. Men, givetvis funkade det inte. Den skrek dock till och sa "DROP"<packet>, men paket gick fram i alla fall. Testade då med reject, men det vill inte Snort ha med, det sa att reject var "invalid".
När jag startar Snort kör med växeln -Q, -i och -c. -i bestämmer interface, -c konfigurationsfil och -Q IPS mode(?inte säker här..).

Antar att jag inte har grepp över de olika metoder Snort kan verka i? Någon som kan komma med några förslag, mitt hår börjar ta slut.

Jag kör inte med senaste Snort då jag körde via apt-get install(Snort finns där i version 8.2.x), så en tanke jag har är att kompilera in Snort själv för att få senaste versionen(9.2.x) då det kan vara en bugg jag har stött på?

-D'oh!|

Trädvy Permalänk
Medlem
Plats
Fääjjestaun
Registrerad
Feb 2007

Det har löst sig. Om någon får problem med att få igång Snort i inline mode, kontakta mig.

-D'oh!|