Sperando che qualcuno qui presenti conosca un modo per rifiutare il traffico Nikto con le regole Snort. Non ho avuto fortuna per giorni a trovarlo ovunque online. Grazie. Pace.
Se usi Official Snort Ruleset allora è già incluso nel set di regole:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET SCAN Nikto Web App Scan in Progress"; flow:to_server,established; content:"(Nikto"; fast_pattern:only; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?\(Nikto/Hmi"; threshold: type both, count 5, seconds 60, track by_src; reference:url,www.cirt.net/code/nikto.shtml; reference:url,doc.emergingthreats.net/2002677; classtype:web-application-attack; sid:2002677; rev:14;)
Aggiungere a ciò che Mirsad ha detto; se intendi bloccare la modalità inline di Snort, devi impostare le regole da alert to drop . Per cose come le scansioni, devi garantire i tuoi preprocessori sono sintonizzati correttamente.
Leggi altre domande sui tag network firewalls ports vulnerability-scanners snort