Snort網站攔截規則

Question

試圖編寫一個防止系統（使用其IP）訪問特定網站的snort規則，至此嘗試了此操作。

alert tcp any any <> 'ipaddress' any (content: "web url"; msg: "Access Denied"; react:block; sid:1000005;) 

任何想法，爲什麼這不起作用？

Answer 1

我不能完全肯定，但它可能是您正在使用警報，你應該使用下降剛剛丟棄數據包要到指定的URL這提醒IDS。

Answer 2

Snort有可使用的幾個動作：

• 警報生成使用所選擇的警報方法的警報，然後記錄這個數據包
• 日誌日誌中的分組
• 通忽略數據包
• activate alert然後轉在另一動態規則
• 動態保持空閒，直到通過activate規則激活，則充當日誌規則
• 降塊和日誌數據包
• 拒絕塊中的分組，記錄它，並如果協議是TCP，則發送TCP重置，如果協議是UDP，則發送ICMP端口不可訪問消息。
• sdrop阻止數據包但不記錄它。

這些可以在文檔頁面Snort Rule Headers

在你的情況，你想要麼下降，拒絕或sdrop，這取決於你是否要發送一個復位上找到，要麼日誌或不。

您當前不會阻止的原因是警報只會記錄數據包。