标签: snort
我有一个相当简单的内联IPS设置,它使用Snort作为检测系统。我想知道是否可以使用Snort重定向尝试查看不允许列表中的URL的用户。
我订阅了Snort实时更新/最近的数据库,它正在工作并给我提醒,但到目前为止我唯一看到的重定向主题是:
恶意攻击 - > Snort识别攻击 - >重定向到蜜罐,而不是:
局域网用户 - > snort认可的不允许的网站 - >重定向到xyz页面
答案 0 :(得分:0)
您可以在规则中使用Snort的replace关键字,将不允许的网址替换为您选择的网址。使用关键字时唯一的限定条件是新文本的长度必须与前一个文本的长度相同。
您还可以使用react关键字来回复您选择的html页面,但这也会阻止连接。