我一直在努力呼噜机器启动并运行,并通过Snort IDS 和 IPS 工具包。
作者建议使用牛头人,但该网站的最后更新时间是 2008 年 2 月。这似乎有点...奇怪。也许 oinkmaster 在过去一年半中没有出现任何问题,但这让我怀疑是否还有其他我不知道的解决方案。
如果您使用 snort,您是否会自动更新您的规则?如果是,如何更新?
答案1
手撕猪肉现在被认为是 Snort 的推荐规则更新系统。虽然它不是官方的 Sourcefire 产品,但它是由 Sourcefire 员工开发的。
语法比 oinkmaster 稍微复杂一些,但是有一个贡献的脚本,oink-conv.pl,将读取您的 oinkmaster 配置并将其转换为 drewpork 语法,从而使系统转换变得更加容易。
除了更新标准规则之外,它还能够管理以前手动过程的 so_rules。
答案2
Oinkmaster 是推荐的、也是保持规则更新的最佳方式。这是一个简单的脚本,这就是为什么它有一段时间没有更新了。
这是一个很好的方法:http://taosecurity.blogspot.com/2004/07/using-oinkmaster-to-update-snort-rules.html