Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Формат stream4_reassemble
|
|
preprocessor stream4_reassemble: [clientonly], [serveronly], \
[noalerts] [роrts < portlist> ]
clientonly: забезпечить перебірку тільки для клієнтської сторони зв'язку;
serveronly: забезпечить перебірку тільки для серверної сторони зв'язку;
noalerts: не попереджає про події, які можуть бути атаками “вставки” або “ухилення”;
роrts < список портів>: список портів розділених пропусками для виконання перебірки, “all“ забезпечує перебірку для всіх портів, значення за умовчанням забезпечує перебірку для портів 21, 23, 25, 53, 80, 110, 111, 143 і 513.
| Примітка Установка директив stream4 і stream4_reassemble без аргументів в snort.conf файлі примусить їх працювати в їх типовій конфігурації, зображеній в таблиці 2.2 і таблиці 2.3. |
Stream4 вводить новий ключ командного рядка: “-z”. При tcp трафіку якщо ключ “-z” є встановленим, Snort попереджатиме тільки про потоки, які були встановлені після трьох рукостискань (handshake) або потоків, де спостерігалася кооперативна двонаправлена активність (тобто де деякий трафік йшов по одному шляху і де що інше ніж “rst” або “fin” повернулося назад до творця). З включеним “-z” ключем Snort повністю ігнорує tcp-основані атаки “stick/snot”.
Таблиця 2.2: Значення за умовчанням stream4
| Опція | За умовчанням |
| час очікування сеансу | 30 секунд |
| місткість пам'яті сеансу | 8388608 байт |
| перевірка | активна |
| статистика потоку | неактивна |
| попередження про проблеми | неактивна |
| роrtscan попередження | неактивна |
Таблиця 2.3: Значення stream4_reassemble за умовчанням
| Опції | За умовчанням |
| перебір клієнта | активна |
| перебір серверу | неактивна |
| перебір портів | 21, 23, 25, 53, 80, 143, 110, 111, 513, 1433 |
| перебір попереджень | активна |
Flow
Модуль вистежування flow потрібен для об'єднання механізму зберігаючого стану Snort в єдиному місці. Як і в Snort 2.1.0, виконується тільки детектор роrtscan, але в довгостроковій перспективі багато з підсистем Snort мігрує і стануть flow плагінами. З введенням flow, це ефективно замінить застарілий препроцесор.
Ipv4 потік унікальний, коли ip протокол (ip_proto), початковий ip (sip), початковий порт (sport), ip місця призначення (dip), і порт місця призначення (dport) є тими ж. dport і sport складають “0”, якщо тільки протокол tcp або udp.
Формат
preprocessor flow: [memcap < bytes> ], [rows < count> ] \
[stats_interval < seconds> ] [hash < 1|2> ]
Таблиця 2.4: Настроюванні елементи flow
| memcap | число байт для розподілу |
| rows | число рядів для потоку хеш-таблиці |
| stats_interval | проміжок (секунди) для виведення статистики, установка “0” відключить висновок |
| hash | для використовування хеш методу |
Приклад конфігурації
preprocessor flow: stats_interval 0 hash 2