Sto usando snortsam per bloccare gli indirizzi IP. Non riesco ad utilizzare la modalità inline e nfqueue in quanto riduce notevolmente le prestazioni del traffico di rete.
Attualmente sto cercando di rilevare le anomalie del protocollo TCP e bloccare le fonti. Sto usando il preprocessore dello stream per questo. Ma il problema è che lo snort genera avvisi per queste anomalie ma non può bloccarle usando snortsam.
Questa regola genera gli avvisi (ma non con il messaggio "MIO MESSAGGIO DI AVVISO", ma con il messaggio su gen-msg.map)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "MY ALERT MESSAGE"; gid: 129; sid: 2; metadata: rule-type preproc)
Quando aggiungo fwsam alla regola:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "MY ALERT MESSAGE"; gid: 129; sid: 2; metadata: rule-type preproc; fwsam:src, 10 seconds;)
Snort dà il seguente errore all'avvio:
Preprocessor and decoder rules do not support detection options: fwsam.
Come ho detto all'inizio, l'uso di snort in modalità inline non è un'opzione per me a causa del grave impatto delle prestazioni di rete. Quindi, come posso bloccare questi avvisi generati dai preprocessori usando snortsam?
Grazie.