Snort Website Blockregel

Question

Der Versuch, eine Snort-Regel zu schreiben, die verhindert, dass das System (mit seiner IP) auf eine bestimmte Website zugreift, hat dies bisher versucht.

alert tcp any any <> 'ipaddress' any (content: "web url"; msg: "Access Denied"; react:block; sid:1000005;) 

Irgendwelche Ideen, warum das nicht funktioniert?

Answer 1

Ich bin mir nicht ganz sicher, aber es kann sein, dass Sie Alarm verwenden, die die IDS alarmiert, wo Sie Drop verwenden sollten die Pakete gehen an die angegebene URL nur fällt.

Answer 2

Snort hat mehrere Maßnahmen, die verwendet werden können:

• alert einen Alarm erzeugen, um die ausgewählte Benachrichtigungsverfahren verwendet, und melden das Paket
• log log das Paket
• Pass ignorieren Sie das Paket
• aktivieren Sie Alarm und dann drehen
• Tropfen Block auf einer anderen dynamischen Regel
• dynamische im Leerlauf bleiben, bis durch eine Activate Regel aktiviert, dann als log Regel wirken und melden das Paket
• verwerfen Block das Paket, melden sie und Senden Sie dann ein TCP-Reset, wenn das Protokoll TCP oder eine nicht erreichbare ICMP-Port-Nachricht ist, wenn das Protokoll UDP ist.
• sdrop Blockieren Sie das Paket, aber protokollieren Sie es nicht.

Diese können auf der Dokumentationsseite Snort Rule Headers

In Ihrer Situation ablehnen oder sdrop, je nachdem, ob Sie einen Reset schicken, und entweder Protokoll Sie wollen entweder Drop, gefunden werden oder nicht.

Der Grund, dass Ihr aktueller Block nicht blockiert ist, dass Alarm wird nur das Paket protokollieren.