Come utilizzare una condizione OR con il contenuto di una regola di snort

Naviga le tue risposte
1

Capisco che se si specificano più contenuti, la regola viene attivata solo se TUTTE le condizioni del contenuto sono soddisfatte.

Ma voglio creare una regola che verrà attivata anche se viene rilevata una qualsiasi delle parole chiave di contenuto. Si noti che deve essere in una singola regola. Forse qualcosa di simile:

alert tcp any any -> any 21 (msg: "FTP traffic"; content: "USER" OR content: "PASS"; sid: 666;)

Quello che sto cercando di ottenere è una regola che blocca solo il traffico FTP sulla porta 21 ma consente altro traffico. Quindi ho pensato di elencare tutti i comandi grezzi FTP nel contenuto. Nota che deve essere una regola SINGLE.

Grazie

    
posta ritratt 14.02.2014 - 21:02
fonte

1 risposta

1

Questo concetto farà il trucco per te. 

alert tcp any any -> any 21 (msg:"FTP traffic"; pcre:"/USER|PASS/i"; sid:666; rev:1;)

Questa espressione è compatibile con maiuscole e minuscole ( /i ) Espressione regolare compatibile con Perl ( pcre ) per USER o ( | ) PASS.

Se vuoi aggiungere ulteriori comandi, incollali semplicemente alla fine della regex come ... 

/USER|PASS|PASV|.../

Per quanto ne so, non è possibile avere un operatore OR per le corrispondenze di contenuto. Invece fai due regole (che hai indicato che non vuoi fare).

  1. Cerca USER
  2. Cerca PASS

Ho visto molte persone che indicano che l'uso di PCRE in Snort è costoso e dovrebbe essere evitato. Supponendo che sia usato in modo efficace, non penso che ci sia un grosso problema, ma non ho mai catturato le metriche di performance poiché raramente ho usato PCRE per la corrispondenza delle regole da solo. Se si utilizza la regola PCRE sopra riportata, si consiglia strongmente di rinforzarla con content e flow . Come è scritto attualmente Snort ispezionerà ogni pacchetto che corrisponde all'intestazione ( tcp any any -> any 21 )!

link
link
link

Senza ulteriori dettagli su dove sei / dove stai provando a / ciò che hai a disposizione dovresti anche controllare il preprocessore FTP per vedere se può aiutarti a raggiungere l'obiettivo generale.

link

    
risposta data 06.03.2014 - 21:25
fonte

Leggi altre domande sui tag

Come posso essere sicuro che il mio browser non esamini le mie password su qualche server? Utilizza il certificato TLS come server e client?