0
Also zum Beispiel warum brauche ich scan.rules wenn es so etwas wie sfportscan Präprozessor gibt? Liegt es daran, dass der Präprozessor nicht alle Aktivitäten erkennen kann und daher Engine mit Regeln mit bekannten Signaturen von Netzwerkangriffen erkannt wird, die versuchen, eine Übereinstimmung zu finden? Aber es gibt auch Preproc-Regeln, also bin ich jetzt etwas verwirrt. So verwenden Präprozessor ihre eigenen Regeln und dann gibt es normale Regeln, falls keine dieser Vorprozesregeln die Übereinstimmung gefunden hat?Zweck der Regeln des Snorts
Vielen Dank für die Antwort.
Preproc helfen nur Aktivitäten der Regeln durch Paket Reassembly, Decodieren und Sortieren von Src und dst IP-Strukturen, ETC. Siehe http://seclists.org/snort/2008/q2/26 –
Aber erzeugen Präprozessor Alarm selbst oder brauchen sie Regeln und wann werden preprocessor.rule verwendet? – uppermost