alert tcp $ HOME_NET任何 - > $ EXTERNAL_NET any(msg:「通過Nick更改檢測到COMMUNITY BOT IRC流量」; flow:to_server,established; content:「NICK」; nocase; offset:0; depth:5; flowbits:set,community_is_proto_irc; flowbits:noalert; classtype:misc-activity; sid:100000240; rev:3;)Snort規則問題跟蹤IRC服務器活動
alert tcp $ EXTERNAL_NET any - > $ HOME_NET any(msg: 「COMMUNITY BOT Internal IRC server detected」; flow:to_server,established; flowbits:isset,community_is_proto_irc; classtype:policy-violation; sid:100000241; rev:2;)
alert tcp $ HOME_NET any - > $ EXTERNAL_NET any (msg:「來自內部bot的CHAT IRC消息」;流程:建立;流程:i SSET,community_is_proto_irc;內容:「PRIVMSG」; NOCASE; CLASSTYPE:政策性侵犯; sid:1463;)
上述規則已由David Bianco編寫,用於跟蹤任何IRC端口上的IRC bot/server活動。但是,上述規則正常工作,但我有一個問題。當多個IRC服務器(其中一些在7000上工作,另一些在6667上工作)在網絡上運行時,我的問題正在發生,其中一些將實現規則的條件,Snort將生成警報,其中一些(甚至一個)將不會實現這些條件,因此Snort不會生成任何與定義集有關的警報。我認爲這是一種不一致。關於這個問題的任何建議?我正在研究Snort 2.8。
出於好奇,你刪除了什麼規則?交通沒有達到多個規則,它只能匹配一個,所以我認爲你刪除了最初被擊中的那些規則? –
在我的情況下,有一些規則試圖捕獲PRIVMSG消息。所以,我只是評論不需要的,以擺脫它對預期規則的影響。 – Aymen