Snort网站拦截规则

时间:2016-11-03 12:19:08

标签: snort

尝试编写一个阻止系统(使用其IP)访问特定网站的snort规则,到目前为止一直在尝试。

alert tcp any any <> 'ipaddress' any (content: "web url"; msg: "Access Denied"; react:block; sid:1000005;)

关于为什么这不起作用的任何想法?

2 个答案:

答案 0 :(得分:1)

Snort有几个可以使用的动作:

  • 警告使用所选警报方法生成警报,然后记录数据包
  • 日志记录数据包
  • 传递忽略数据包
  • 激活提醒,然后启用其他动态规则
  • 动态保持空闲状态,直到激活规则激活,然后充当日志规则
  • 删除阻止并记录数据包
  • 拒绝阻止数据包,将其记录下来,如果协议是TCP,则发送TCP重置;如果协议是UDP,则发送ICMP端口不可达消息。
  • sdrop 阻止数据包但不记录。

可以在文档页面Snort Rule Headers

上找到这些内容

在您的情况下,您需要放弃拒绝 sdrop ,具体取决于您是要发送重置,还是记录或不

您当前不会阻止的原因是警告只会记录该数据包。

答案 1 :(得分:0)

我不完全确定,但可能是您正在使用警告警告您应该使用 drop 的IDS,这只会丢弃发送到指定的网址。

相关问题
最新问题