snort ips規則 - 拒絕工作但丟棄和sdrop不工作

Question

我嘗試運行snort作爲IPS。所以我通過Ubuntu的服務器上安裝的Snort apt-get和配置daq_type爲afpacket和daq_mode爲內嵌。和2接口像的eth1：ETH2 後來我寫測試

reject tcp any any -> any any (sid: 1000005;) 

規則它的工作，但是當我將其更改爲

drop tcp any any -> any any (sid: 1000005;) 

這是行不通的。當我改變行動sdrop的結果是一樣的。 和我從源安裝snort，但結果是一樣的。 你能幫忙寫出真正的規則嗎？

Answer 1

Snort可以在三種不同的模式下操作，即tap（無源），inline和inline-test。 如果您想使用丟棄規則丟棄數據包，您需要確保您以內聯模式運行。從外觀上看，你可能不是內聯模式。 「拒絕」的原因是因爲它會爲TCP發送一個重置，這會停止該流的其餘部分，或者它會向UDP發送一個ICMP端口不可達消息。看到從所述噴鼻息手冊（http://manual.snort.org/node29.html）下面的解釋上規則頭：

降 - 塊和日誌數據包

拒絕 - 阻止該數據包，記錄它，然後發送TCP重置如果協議是TCP或者如果協議是UDP，則爲ICMP端口不可達消息。

sdrop - 阻止數據包但不記錄它。

如果snort沒有以內聯模式運行，它不會實際丟棄數據包，它只會生成一個警報（用於丟棄）並傳遞數據包。

請參閱從噴鼻息手冊以下的三種模式：http://manual.snort.org/node11.html#SECTION00295100000000000000 具體而言，串聯模式被描述爲如下：

當Snort是在串聯模式，它作爲一個IPS允許降的規則來觸發。 Snort的可以配置爲使用命令行參數-Q在串聯模式下運行，並嗤之以鼻配置選項policy_mode如下：

snort -Q 
config policy_mode:inline 

你需要確保行「配置policy_mode：內聯」的是你snort.conf中當你運行snort時，你傳遞「-Q」選項。如果這兩項都沒有完成，它不會下降。希望這可以幫助！