È possibile scrivere una regola di snort che corrisponde a 2 flussi diversi?
Ad esempio su una comunicazione da host-a < - > host-b che avviene contemporaneamente a una comunicazione su host-a < - > host-c?
È possibile scrivere una regola di snort che corrisponde a 2 flussi diversi?
Ad esempio su una comunicazione da host-a < - > host-b che avviene contemporaneamente a una comunicazione su host-a < - > host-c?
La risposta breve è "no". Snort opera principalmente in base allo stream-by-stream. Ma sarebbe utile sapere in modo specifico cosa stai cercando di fare.
Se si desidera generare un solo avviso quando si verificano entrambi gli eventi e questi due eventi sono dissimili, non è possibile farlo con una regola di testo. Tuttavia, se vuoi rilevare che l'host A fa la stessa cosa per ospitare B e l'host C allo stesso tempo, potresti usare detection_filter with track by_src per vedere che l'host sta facendo qualcosa che non dovrebbe.
La lunga risposta è che puoi fare qualsiasi cosa usando le regole degli oggetti condivisi e abusare della potenza e della flessibilità che danno, ma spiegare questo su un forum Web sarebbe difficile.
Leggi altre domande sui tag snort