0

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server, Established; content:"NICK "; nocase; offset: 0; depth: 5; flowbits:set, community_is_proto_irc; flowbits: noalert; classtype:misc-activity; sid:100000240; rev:3;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT 内部 IRC サーバーが検出されました"; フロー: to_server、確立; フロービット:isset,community_is_proto_irc; クラスタイプ: ポリシー違反; sid:100000241; rev:2;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"内部ボットからの CHAT IRC メッセージ"; フロー: 確立; フロービット:isset,community_is_proto_irc; content:"PRIVMSG "; nocase; classtype:policy-violation; sid:1463; )

上記のルールは、任意の IRC ポートで IRC ボット/サーバーのアクティビティを追跡するために、 David Biancoによって作成されました。ただし、上記のルールは正常に機能しますが、問題があります。私の問題は、複数の IRC サーバー (一部は 7000 で動作し、もう 1 つは 6667 で動作) がネットワーク上で実行されている場合に発生します。それらの一部はルールの条件を達成し、Snort はアラートとそれらの一部 (または 1 つでも) を生成します。これらの条件を達成しないため、Snort は定義されたセットに関連するアラートを生成しません。ある種の違和感があると思います。その問題に関する提案はありますか?私はSnort 2.8に取り組んでいます。

4

2 に答える 2

3

これらのIRCルールは非常に古く、(これまで見てきたように)すべてのIRCトラフィックをキャプチャするわけではありません。それらがネットワークキャプチャまたはトレースと一致しない理由を言うことはほとんど不可能です。

最初のルールは、トラフィックに一致するルールに基づいてフロービットを設定します(5の深さのオフセット0からの単語「NICK」の無意識の一致に基づいて)、最初のルールがトラフィックに一致しない場合、それはしません」 tフロービットを「community_is_proto_irc」に設定します。これがflowbitsに関する古い説明です-http: //forums.snort.org/forums/rules/topics/flowbits

2番目のルールは(外部からホームへのトラフィックの)フロービットの存在を警告するだけですが、3番目のルールはコンテンツの一致(およびトラフィックフローが逆になっている)でよりきめ細かくなります。

一致しないIRCトラフィックのpcapを取得し、ローカルでSnortを介して起動して、欠落しているものを確認し、それに応じてルールを調整することをお勧めします(snort -r test.pcap -c /etc/snort_test.conf)-http : //manual.snort.org/node8.html

HTH!

于 2012-05-10T08:43:28.503 に答える
0

神に感謝します。問題は現在解決されています....問題の理由は、同じアクティビティ(PRIVMSG)に対して同時にトリガーしようとする多くのルール間の競合であったため、これらのルールを削除したとき、すべての考えはちょうど上記のルールで問題ありません。

于 2012-06-02T15:55:56.093 に答える