Snort in modalità IDS:
Se c'è del traffico che NON trova alcuna regola corrispondente rispetto a tutte le regole Snort esistenti, come scriveresti una regola di base per avvertire questo traffico?
Mi dispiace, ma Snort non è davvero progettato per questo. Sembra che tu voglia qualcosa di più simile a un firewall.
Snort è un sistema di rilevamento delle intrusioni, il cui compito è quello di evidenziare il traffico sospetto o malevolo che osserva per informare coloro che monitorano la rete su "Guarda qui!" Allertare su ogni singolo pezzo di traffico che passa è praticamente l'opposto di ciò che Snort dovrebbe fare.
Esistono altre soluzioni più adatte a quello che stai chiedendo.
Se stai cercando solo i metadati, un firewall con la possibilità di accedere sarebbe perfetto. Puoi semplicemente mettere una regola "consenti qualsiasi - > qualsiasi registro" nella parte inferiore e quindi avrai un file di registro con tutti i metadati per ciascuna connessione.
Se vuoi catturare il traffico reale che viene osservato indipendentemente dal fatto che inforni una regola o meno, probabilmente vorrai impostare un'utilità di acquisizione dei pacchetti con la possibilità di ruotare i file di registro. Molti dispositivi di sicurezza nostrani sono costruiti in questo modo in modo che i ricercatori della sicurezza possano esaminare il traffico che i loro IDS potrebbero aver perso. Per connessioni ad alta larghezza di banda, le persone usano qualcosa come netsniff-ng. Se stai cercando qualcosa che non solo catturi il traffico ma ti dia anche un'interfaccia da usare per esaminare e scaricare pcap, controlla il link che è gratuito.
Non so se funzionerà, ma puoi usare un'espressione regolare generica sul parametro pcre: "/^.*$/" che corrisponderà a qualsiasi cosa se la regex è scritta correttamente :).
Leggi altre domande sui tag snort