我遇到一个问题,当我向我的 WAN 接口(SNORT)添加自定义规则时,我无法启动该接口,尽管一整天都运行良好,但现在即使是最简单的 ping 规则也不起作用。
当我开始使用以下规则对一些 SMB 流量进行测试监控后,问题就开始出现了:
alert tcp any any -> $HOME_NET[139, 445] (msg:"Home network SMB triggered"; flow:to_server,established; content:"P|00|S|00|E|00|X|00|E|00|S|00|V|00|C"; nocase; reference:url,xinn.org/Snort-psexec.html; reference:url,doc.emergingthreats.net/2010781; classtype:suspicious-filename-detect; sid:2010781; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)
不确定出了什么问题,但是规则不起作用,现在我的其他自定义规则也不起作用(因为它们阻止我启动界面)。
有谁知道发生了什么事?
答案1
您的规则的问题在于间距。
警报 tcp any any -> $HOME_NET[139, 445]
解析为
- 源 IP:任意
- SrcPort:任意
- 目标 IP: $HOME_NET[139,
- 目的端口:445]
这是无效的
你要:
alert tcp any any -> $HOME_NET [139,445]
这将允许规则验证。