Ubuntu 18.04 Snort 保护

Ubuntu 18.04 Snort 保护

最近我Snort在我的上安装了Ubuntu server 18.04并且还在里面写了一些规则local.rules。它可以完美地检测我的规则,如 ping、简单的 dos 攻击等。

我有四个问题:

  1. 如何在 Snort 检测规则中阻止特定 IP 地址?(例如在 dos 检测规则中)

  2. Snort 是否在某些数据库中存储有关检测的任何数据(如 IP、内容等)?apt-get install snortmysql安装到。

  3. 是否可以运行脚本alert

  4. 当我使用操作并在模式reject下启动 snort时,我得到了console

连接被拒绝

ssh 出错,无法再登录 ssh,除非重启服务器。规则是:

reject tcp any any -> $HOME_NET any (msg:"simple dos attack"; threshold:type both, count 50 , seconds 5 , track by_dst ; sid:1000001 )

答案1

典型的做法是运行 Snort内联模式然后修改 snort 规则,如上面链接中“Dropping Traffic”下所示。

RE:#2 Snort 将记录/var/log/alert(或类似,请参阅 snort 配置)以通知它正在检测的内容。

回复:#3 那里是方法在警报上运行脚本,但如果 snort 触发了突发流量,您需要计划每秒调用脚本数千次。

回复:#4 不确定。需要更多信息

相关内容