È possibile aggiungere caratteri jolly o qualcosa che potrebbe funzionare come loro a un indirizzo IP di una regola snortata?
Ad esempio:
Se mi piacerebbe rilevare source-ip di: 192.168.*.9
Dove il terzo ottetto può essere qualsiasi cosa nell'intervallo 1-255, ma il quarto ottetto deve essere esattamente '9'.
Snort non supporta i caratteri jolly o le espressioni regolari su Indirizzi IP / intervalli . Lo fa supporto notazione CIDR per intervalli di indirizzi IP, alcune variabili pre-configurati in snort.conf come $HOME_NET e simile e ! per la negazione dell'intervallo IP o IP (modifica: Oh, e ovviamente any , ma non !any ).
Ciò che potresti fare, tuttavia, è definire una nuova variabile di ipvar , compilarla con l'elenco di IP che abbinare i tuoi requisiti e quindi fare riferimento ad esso nella definizione delle regole per semplificare le cose ed evitare di aggiungere 256 singole regole:
ipvar ENDS_WITH_A_NINE [192.168.0.9,192.168.1.9,192.168.2.9,192.168.3.9,192.168.4.9, ... ]
alert tcp $ENDS_WITH_A_NINE any -> any any (msg:"Last octet of 9 detected!"; sid:9;)
In questo modo, sarà molto più facile mantenere le tue regole di Snort. Mi rendo conto che non sembra elegante, ma non dovrebbe richiedere più di qualche minuto per copiare tutti i 256 possibili indirizzi IP nella lista delle variabili, e batte la creazione di tutte le 256 regole, poi realizzando che è necessario cambiare qualcosa in loro.
Ad ogni modo, spero che questo aiuti! ;)