在Snort中使用decoder.rules和preproc.rules

在Snort中使用decoder.rules和preproc.rules

我正在使用snort。在配置时,我遇到了规则文件,例如decoder.rules和preproc.rules。谁能告诉我在 snort.conf 中启用这些规则的用途吗?

答案1

Snort 的解码器查看数据包的结构并检索 IP 标头等内容。预处理器负责重建碎片数据包和跟踪协议流(例如 HTTP)等。它们还能够针对可疑形成的数据包或其他条件生成警报,就像常规的 snort 规则一样。

通过包含 preproc.rules 和 detector.rules 文件,您可以启用内置于您可能已在 snort.conf 中加载和启用的解码器和预处理器中的警报。如果不包含规则,snort 将禁用警报。

旧版本的 snort 默认启用这些警报,如果不需要,则需要抑制警报,这更难管理。

相关内容