La regola Snort personalizzata mi impedisce di avviare l'interfaccia WAN


0

Sto riscontrando un problema in cui quando aggiungo una regola personalizzata alla mia interfaccia WAN (SNORT), non riesco ad avviare l'interfaccia, nemmeno le regole di ping più semplici funzionano ora nonostante abbia funzionato bene tutto il giorno.

I problemi sono iniziati dopo che ho iniziato a fare alcuni test di monitoraggio del traffico SMB con la seguente regola:

alert tcp any any -> $HOME_NET[139, 445] (msg:"Home network SMB triggered"; flow:to_server,established; content:"P|00|S|00|E|00|X|00|E|00|S|00|V|00|C"; nocase; reference:url,xinn.org/Snort-psexec.html; reference:url,doc.emergingthreats.net/2010781; classtype:suspicious-filename-detect; sid:2010781; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

Non sono sicuro di cosa sia andato storto, ma la regola non ha funzionato, e ora neanche le mie altre regole personalizzate (come in esse mi impediscono di avviare l'interfaccia).

Qualcuno che sa cosa è successo?

Risposte:


0

Il problema con la tua regola è nella spaziatura.

avviso tcp qualsiasi -> $ HOME_NET [139, 445]

viene analizzato come

  • SrcIP: qualsiasi
  • SrcPort: qualsiasi
  • DstIP: $ HOME_NET [139,
  • DstPort: 445]

che non è valido

tu vuoi:

alert tcp any any -> $HOME_NET [139,445] 

Ciò consentirà la convalida della regola.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.