使用Snort规则查看病毒流量

Question

我需要以下两个问题的帮助来创建鼻息的规则。

1. 正在使用指示Viber的网络流量时生成警报。
2. 通过SNM通知来自网络172.20.0.0的任何大小大于100字节的数据包 255.240.0.0指定为端口80。

Answer 1

a。取自https://commons.erau.edu/cgi/viewcontent.cgi?article=1477&context=jdfsl

• 工作中进行的分析涵盖了最新版本的Viber 6.2.2，并且所有结果均已针对android和iOS平台进行了验证。
• Viber通常通过UDP端口7985、7987、5243和9785进行语音通话 您将要创建，编写规则以检测上述端口上的TCP和UDP通信。例如。

那么这样的话：  -alert udp any any -> $HOME_NET 7985 (msg: "Viber Traffic"; sid:10000001; rev: 1;)

b。确保在您的snort.conf中正确设置了$ HOME_NET，因此，您要在“ home” $ HOME_NET下拥有哪些子网。  -alert tcp 172.20.0.0 any -> $HOME_NET 80 (msg: "Traffic from the 172.20.0.0 addr"; dsize:>100;sid:10000001; rev: 1;)