自定义Snort规则阻止我启动WAN接口

0

我遇到一个问题,当我将自定义规则添加到WAN接口(SNORT)时,我无法启动该接口,即使最简单的ping规则即使整天都正常工作,现在也无法正常工作。

我开始使用以下规则对某些SMB流量进行一些测试监视后,开始出现问题:

alert tcp any any -> $HOME_NET[139, 445] (msg:"Home network SMB triggered"; flow:to_server,established; content:"P|00|S|00|E|00|X|00|E|00|S|00|V|00|C"; nocase; reference:url,xinn.org/Snort-psexec.html; reference:url,doc.emergingthreats.net/2010781; classtype:suspicious-filename-detect; sid:2010781; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

不知道出了什么问题,但是该规则不起作用,现在我的其他自定义规则也不起作用(因为它们阻止了我启动界面)。

有谁知道发生了什么事吗?

pfsense  snort 
user10094935
source

Answers:

0

您的规则的问题在于间距。

提醒tcp any-> $ HOME_NET [139,445]

被解析为

  • SrcIP:任何
  • SrcPort:任何
  • DstIP:$ HOME_NET [139,
  • DstPort:445]

这是无效的

你要:

alert tcp any any -> $HOME_NET [139,445]

这将允许规则进行验证。

乔西亚·齐默尔曼(Josiah Zimmermann)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.