使用Snort规则查看病毒流量

时间:2019-04-30 11:40:07

标签: snort

我需要以下两个问题的帮助来创建鼻息的规则。

  1. 正在使用指示Viber的网络流量时生成警报。
  2. 通过SNM通知来自网络172.20.0.0的任何大小大于100字节的数据包 255.240.0.0指定为端口80。

1 个答案:

答案 0 :(得分:0)

a。取自https://commons.erau.edu/cgi/viewcontent.cgi?article=1477&context=jdfsl

  • 工作中进行的分析涵盖了最新版本的Viber 6.2.2,并且所有结果均已针对android和iOS平台进行了验证。
  • Viber通常通过UDP端口7985、7987、5243和9785进行语音通话 您将要创建,编写规则以检测上述端口上的TCP和UDP通信。例如。

那么这样的话:  -alert udp any any -> $HOME_NET 7985 (msg: "Viber Traffic"; sid:10000001; rev: 1;)

b。确保在您的snort.conf中正确设置了$ HOME_NET,因此,您要在“ home” $ HOME_NET下拥有哪些子网。  -alert tcp 172.20.0.0 any -> $HOME_NET 80 (msg: "Traffic from the 172.20.0.0 addr"; dsize:>100;sid:10000001; rev: 1;)