소스에서 snort-2.9.7을 설치하고 IDS로 실행했습니다.
% snort -devQ -A console -c /etc/snort/snort.conf -i eth0:eth1
Enabling inline operation
Running in IDS mode
...
구성 파일은 매우 간단합니다.
#
var RULE_PATH rules
# Set up the external network addresses. Leave as "any" in most situations
ipvar EXTERNAL_NET any
# Setup the network addresses you are protecting
ipvar HOME_NET [10.10.10.0/24]
config daq: afpacket
config daq_mode: inline
config policy_mode:inline
include $RULE_PATH/icmp.rules
icmp.rules의 규칙은 테스트 목적으로도 간단합니다.
block icmp 10.10.10.2 any <> 10.10.10.1 any (msg:"Blocking ICMP Packet from 10.10.10.2"; sid:1000001; rev:1;)
Snort가 실행 중인 호스트에서 eth0 인터페이스의 주소는 10.10.10.1이지만 다른 호스트에서 ping 10.10.10.1을 보내면 Snort가 icmp 패킷을 삭제하지 않고 icmp가 다음과 같이 응답합니다.
WARNING: No preprocessors configured for policy 0.
02/27-15:04:40.623763 [Drop] [**] [1:1000001:1] Blocking ICMP Packet from 10.10.10.2 [**] [Priority: 0] {ICMP} 10.10.10.2 -> 10.10.10.1
경고는 무슨 뜻인가요? 내가 뭔가 잘못하고 있는 걸까요?
답변1
icmp 규칙을 다음으로 바꾸십시오.
reject icmp 10.10.10.2 any <> 10.10.10.1 any (msg:"Blocking ICMP Packet from 10.10.10.2"; sid:1000001; rev:1;)
라는 snort 규칙 작업이 없습니다.차단하다. 다음 중 하나를 사용하세요.거부하다또는떨어지다. 자세한 내용은 다음을 참조하세요.이 매뉴얼 페이지.
업데이트:
명령에 둘 이상의 인터페이스를 넣을 수 있는지 잘 모르겠습니다 snort. 각 네트워크 인터페이스에 대해 하나씩 두 개의 인스턴스를 실행해 보거나 snort설명된 다른 접근 방식을 사용해 보십시오.여기.