<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Snort安裝使用中文手冊
    展開或關閉
    Snort概述
    1.1 Snort 入門與模式 1.2 Snort 網絡入侵檢測系統模式 1.3 Snort如何獲取數據包 1.4 Snort如何讀取pcap文件 1.5 Snort 如何實現基本輸出 1.6 Snort 隧道協議支持 1.7 Snort 其他相關操作 1.8 Snort如何控制套接字 1.9 Snort如何配置信號值
    配置Snort
    2.1 Snort Include關鍵字 2.2 Snort 預處理器 2.3 Snort 解碼器和預處理器規則 2.4 Snort如何進行事件處理 2.5 Snort 性能分析 2.6 Snort 輸出模塊 2.7 Snort 主機屬性表 2.8 Snort 動態模塊 2.9 如何重新加載Snort 配置 2.10 Snort 多種配置 2.11 Snort 主動響應
    編寫Snort規則
    3.1 Snort 規則首部 3.2 Snort 常規規則選項 3.3 Snort Payload檢測規則選項 3.4 Snort Non-payload 檢測規則選項 3.5 Snort Post-Detection規則選項 3.6 Snort 規則閾值 3.7 Snort如何編寫良好的規則
    動態模塊
    4.1 Snort 數據結構 4.2 Snort 必需功能 4.3 Snort 實例
    Snort發展
    5.1 Snort 數據流 5.2 Snort Unified2文件格式 5.3 Snort 緩沖轉儲實用程序

    3.6 Snort 規則閾值

    Snort安裝使用中文手冊 /

    規則閾值是不贊成的,在將來的版本中將不支持。在規則中使用detection_filters([]),或者使用event_filters([])作為獨立配置。

    threshold可以作為規則的一部分包含,也可以使用引用生成器和應用它們的SID的獨立閾值。向規則添加閾值與對同一規則使用獨立閾值之間沒有功能上的區別。兩者在邏輯上存在差異。有些規則可能只有在有門檻的情況下才有意義。它們應該將閾值納入規則。例如,檢測登錄密碼嘗試過多的規則可能需要超過5次嘗試。這可以使用“limit”類型的閾值來完成。閾值特性是該規則不可分割的一部分,這是有道理的。

    3.6.0.0.1 格式

        threshold:
        type <limit|threshold|both>,
        track <by_src|by_dst>,
        count <c>, seconds <s>;
    選項 描述
    type limit/threshold/both 在時間間隔內的第1 m個事件上鍵入“limit”警報,然后忽略其余時間間隔內的事件。在此時間間隔內,我們看到該事件時,每隔m次輸入“threshold”警報。在看到m個事件發生后,每個時間間隔輸入一次’ both ‘警報,然后忽略該時間間隔內的任何其他事件。
    track by_src/by_dst 速率由源IP地址或目標IP地址跟蹤。這意味著為每個唯一的源IP地址或每個唯一的目標IP地址維護計數。端口或任何其他東西都不會被跟蹤。
    count c 導致超過’ event_filter ‘限制的規則匹配數(以秒為單位)。“c”必須是非零值。
    seconds s “計數”的累計時間。’ s ‘必須是非零值。

    3.6.0.1 例子

    該規則每60秒記錄此SID的第一個事件。

        alert tcp $external_net any -> $http_servers $http_ports
        (msg:"web-misc robots.txt access"; flow:to_server, established;
        uricontent:"/robots.txt"; nocase; reference:nessus,10302;
        classtype:web-application-activity; threshold:type limit, track
        by_src, count 1 , seconds 60; sid:1000652; rev:1;)

    在60秒的時間間隔內,該規則每記錄該SID上的第10個事件。因此,如果60秒內發生的事件少于10個,則不會記錄任何內容。記錄事件后,type=threshold將啟動一個新的時間段。

        alert tcp $external_net any -> $http_servers $http_ports
        (msg:"web-misc robots.txt access"; flow:to_server, established;
        uricontent:"/robots.txt"; nocase; reference:nessus,10302;
        classtype:web-application-activity; threshold:type threshold,
        track by_dst, count 10 , seconds 60 ; sid:1000652; rev:1;)

    如果在此SID上觸發了至少10個事件,則該規則每60秒最多記錄一個事件。

        alert tcp $external_net any -> $http_servers $http_ports
        (msg:"web-misc robots.txt access"; flow:to_server, established;
        uricontent:"/robots.txt"; nocase; reference:nessus,10302;
        classtype:web-application-activity; threshold:type both, track
        by_dst, count 10, seconds 60; sid:1000652; rev:1;)

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    007bug
    資深作者 165 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类