กฎ Snort ที่กำหนดเองทำให้ฉันไม่สามารถเริ่มต้นอินเทอร์เฟซ WAN


0

ฉันมีปัญหาเมื่อฉันเพิ่มกฎที่กำหนดเองไปยังอินเตอร์เฟซ WAN ของฉัน (SNORT) ฉันไม่สามารถเริ่มอินเทอร์เฟซได้แม้แต่กฎปิงที่ง่ายที่สุดในตอนนี้แม้จะทำงานได้ดีทั้งวัน

ปัญหาเริ่มต้นขึ้นหลังจากที่ฉันเริ่มทำการตรวจสอบการทดสอบปริมาณการใช้ข้อมูล SMB บางส่วนด้วยกฎต่อไปนี้:

alert tcp any any -> $HOME_NET[139, 445] (msg:"Home network SMB triggered"; flow:to_server,established; content:"P|00|S|00|E|00|X|00|E|00|S|00|V|00|C"; nocase; reference:url,xinn.org/Snort-psexec.html; reference:url,doc.emergingthreats.net/2010781; classtype:suspicious-filename-detect; sid:2010781; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

ไม่แน่ใจว่ามีอะไรผิดพลาด แต่กฎใช้งานไม่ได้และตอนนี้กฎที่กำหนดเองอื่นของฉันก็ไม่ได้ทำเช่นนั้น

ใครที่รู้ว่าเกิดอะไรขึ้น

คำตอบ:


0

ปัญหาเกี่ยวกับกฎของคุณอยู่ในระยะห่าง

แจ้งเตือน tcp any -> $ HOME_NET [139, 445]

แยกเป็น

  • SrcIP: ใด ๆ
  • SrcPort: ใด ๆ
  • DstIP: $ HOME_NET [139,
  • DstPort: 445]

ซึ่งไม่ถูกต้อง

คุณต้องการ:

alert tcp any any -> $HOME_NET [139,445] 

สิ่งนี้จะช่วยให้กฎการตรวจสอบ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.