Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Пороги правила
|
|
Це правило реєструє першу подію цього “sid” кожні 60 секунд:
alert tcp $external_net any -> $http_servers $http_ports \
(msg: " web-misc robots.txt асces”; flow: to_server, established; \
uricontent: " /robots.txt"; nocase; reference: nessus, 10302; \
classtype: web-application-activity; treshold: type limit, track \
by_src, count 1, seconds 60; sid: 1000852; rev: 1;)
Це правило реєструє кожну 10 подію по цій “sid” протягом 60 секундного інтервалу, так що якщо менш ніж 10 подій відбувається за 60 секунд, то ніщо не реєструється. Як тільки одна подія зареєстрована починається новий період часу для виду порогу.
alert tcp $external_net any -> $http_servers $http_ports \
(msg: " web-misc robots.txt асces”; flow: to_server, established; \
uricontent: " /robots.txt"; nocase; reference: nessus, 10302; \
classtype: web-application-activity; treshold: type treshold \
track by_dst, count 10, seconds 60; sid: 1000852; rev: 1;)
Це правило реєструє одну подію кожні 60 секунд, якщо як мінімум 10 подій по цьому “sid” є звільненими.
alert tcp $external_net any -> $http_servers $http_ports \
(msg: " web-misc robots.txt асces”; flow: to_server, established; \
uricontent: " /robots.txt"; nocase; reference: nessus, 10302; \
classtype: web-application-activity; treshold: type both, track \
by_dst, count 10, seconds 60; sid: 1000852; rev: 1;)
Глобальні пороги
Ліміт реєстрації 1 події за 60 секунд за запуск ip кожного правила (“gen_id” правила складає 1):
treshold gen_id 1, sig_id 0, type limit, track by_src, count 1, seconds 60
Ліміт реєстрації 1 події за 60 секунд за ip запуск кожного правила для кожного генератора події:
treshold gen_id 0, sig_id 0, type limit, track by_src, count 1, seconds 60
Події в Snort генеруються звичайним способом, лімітація обробляється як частина системи виводу. Для більш конкретної інформації про “gen ids” слід прочитати “gen-msg.map”.
Користувачі можуть також конфігурувати місткість пам'яті для порогу з “config: ” опцією:
config treshold: memcap < bytes>
2.4. Заборона події
Заборона події зупиняє запуск певних подій без видалення правила з бази правила. Цей метод використовує зображення cidr блоку для вибору специфічних мереж і користувачів для подавлення. Тести заборони виконуються до стандартних або глобальних тестів обмежень.
Команди заборони - це автономні команди, які посилаються на генератори, “sids” і адреси “ip” через “cidr блок”. Це дозволяє цілком заборонити правило, або заборонити його, коли обумовлений трафік поступає до, або виходить із специфічного “ip” або групи “ip” адрес. Можна застосувати багаторазові команди заборони до “sid”. Також можна об'єднати одну команду порогу і різні команди заборони до того ж “sid”.
Формат
Команди заборони підтримують 2 або 4 елементи настройки.
Таблиця 2.14: Настройки заборони
| gen_id | < id генератора> | потрібен |
| sig_id | < id сигнатури snort> | потрібен |
| track | by_src або by_dst | опціонально, потрібен ip |
| ip | ip[/маска] | опціонально, потрібен track |
suppress gen_id < gen-id>, sid_id < sid-id> \
track < by_src|by_dst>, ip < ip|mask-bits>