我一直试图编写一条规则来检测使用snort IDS建立连接“三次握手”:
alert tcp 10.10.10.10 any - > any any(sid:1000; flags:S; msg:“SYN detect”;)
每次我使用此规则运行snort时都不会检测到连接?有没有语法错误!!或者应该修改任何东西
欣赏帮助
答案 0 :(得分:0)
除非这是配置中的唯一内容,否则必须记住,小于999,999的规则ID保留供Snort团队/规则供稿使用。来自Snort文档:
3.4.4 sid
sid关键字用于唯一标识Snort规则。此信息允许输出插件轻松识别规则。此选项应与rev关键字一起使用。 (见[*]部分)
2#2100保留供将来使用
100-999,999 Snort发行版附带的规则
36#361,000,000用于本地规则
您应该将规则重写为以下内容:
alert tcp 10.10.10.10 any -> any any (sid:100000000; flags:S; msg:"SYN detect";)
如果您的SID与其他规则的SID匹配,则可能会发生不可预测的结果(例如,您的规则似乎永远不会触发)。