Snort, aggiungi la regola di ritrasmissione TCP

1

Qualcuno può aiutarmi con l'aggiunta della regola per la ritrasmissione dei pacchetti.

Ho trovato della documentazione sulle regole dello snort, ma sono confuso su come usarlo. Le regole che catturano la ritrasmissione del pacchetto catturano il pacchetto originale.

Questi sono i pacchetti per i quali sto cercando di aggiungere la regola

Questaèlaregolachesupponecatturarelaritrasmissionemacatturaancheipacchettioriginali.

alerttcpanyany-><destinationAddress>22(msg:"SSH retransmission detected"; classtype: attempted0recon; sid: 999999)

Inoltre, solo per ragioni di comparazione, voglio provare entrambe le regole ad essere reciprocamente esclusive.

Grazie

    
posta Alex 10.03.2013 - 04:53
fonte

1 risposta

1

A meno che tu non abbia aggiunto una nuova classe di attacco personalizzata nel tuo file classification.config con il nome attempted0recon , non c'è 's qualsiasi classe di questo tipo in Snort di default . Esiste tuttavia una classe denominata attempted-recon .

Non hai inoltre impostato alcun filtro aggiuntivo per il quale il messaggio "Rilevazione ritrasmissione SSH" dovrebbe essere segnalato, quindi il tuo esempio dovrebbe essere:

Alert with class attempted0recon and message 'SSH retransmission detected' any inbound TCP connection to <destinationAddress> port 22 originating from any remote address and port.

Non l'ho scritto nell'ordine esatto, in quanto ciò sarebbe completamente illeggibile, ma il modulo generale delle regole Snort è:

action proto src_ip src_port direction dst_ip dst_port (options)

La tua regola potrebbe quindi leggere in questo modo:

alert tcp any any -> <destinationAddress> 22 (msg:"SSH retransmission detected"; 
                                              content:"TCP Retransmission"; 
                                              nocase; 
                                              classtype:attempted-recon;)

per la tua regola nell'esempio che hai fornito. Poiché la regola dell'altro (primo pacchetto) non può dipendere da nessun contenuto del payload (come non vedo nella tua stampa), potresti ad esempio utilizzare parola chiave dsize nella parte delle opzioni per identificarli in base alla loro dimensione e / o altro non- rilevamenti del carico utile :

alert tcp any any -> <destinationAddress> 22 (msg:"SSH key exchange"; 
                                              dsize: <518; 
                                              classtype:tcp-connection;)

Ovviamente, è possibile adottarli in base alle proprie esigenze e sono solo esempi.

    
risposta data 11.03.2013 - 01:27
fonte

Leggi altre domande sui tag