Intervallo di priorità dello snort

Question

Intervallo di priorità dello snort

#1 da (1 voti)

0

Qual è l'intervallo di valori per il parametro 'priority' in una regola Snort? La documentazione non lo rende chiaro:

The priority tag assigns a severity level to rules. A classtype rule assigns a default priority (defined by the config classification option) that may be overridden with a priority rule. Examples of each case are given below.

Format

priority:<priority integer>;

Examples

alert tcp any any -> any 80 (msg:"WEB-MISC phf attempt"; flags:A+; \ content:"/cgi-bin/phf"; priority:10;)

alert tcp any any -> any 80 (msg:"EXPLOIT ntpdx overflow"; \ dsize:>128; classtype:attempted-admin; priority:10 );

snort

posta Astrophe 02.01.2018 - 14:39

fonte

1 risposta

Leggi altre domande sui tag snort

Perché arp restituisce lo stato iniziale dopo l'arresto di arpspoof? Perché l'impostazione del testo cifrato su 21 caratteri significa che il testo semplice non è nulla in AES256

score 1 · Accepted Answer

La risposta breve:

Qualunque cosa il tuo cuore desideri. Appena testato fino a priority:1000000; e funziona perfettamente.

Che cosa dice nel manuale:

Quanto segue è stato messo in §3.4.6 - classtype , la sezione immediatamente precedente alla priorità :

Attack classifications defined by Snort reside in the classification.config file. The file uses the following syntax:

config classification: <class name>,<class description>,<default priority>

These attack classifications are listed in Table 3.2. They are currently ordered with 4 default priorities. A priority of 1 (high) is the most severe and 4 (very low) is the least severe.

Spero che questo risponda alla tua domanda!