Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Приклади. Preprocessor http_inspect_server: server 10.1.1.1 \
|
|
Preprocessor http_inspect_server: server 10.1.1.1 \
роrts { 80 3128 8080 } \
flow_depth 0 \
ascii, no \
double_decode, yes \
non_rfc_char { 0x00 } \
chunk_length 500000 \
non_strict \
no_alerts
preprocessor http_inspect_server: server default \
роrts { 80 3128 } \
non_strict \
non_rfc_char { 0x00 } \
flow_depth 300 \
apache_whitespace yes \
directory no \
iis_backslash no \
u_encode yes \
ascii no \
chunk_length 500000 \
bare_byte yes \
double_decode yes \
iis_unicode yes \
iis_delimiter yes \
multi_slash no
preprocessor http_inspect_server: server default \
profile all \
роrts { 80 8080 }
2.3. Поріг події
Поріг події може використовуватися для зменшення числа реєстрованих попереджень для галасливих правил. Його можна настроїти, щоб значно зменшити фальшиві попередження, і він може також використовуватися для написання нового виду правил. Команди порогу обмежують число реєстрацій конкретної події протягом певного інтервалу часу.
Існує 3 види порогів:
1. ліміт (limit): попереджає про перші “m” події протягом інтервалу часу, потім ігнорує події для решти частини інтервалу часу.
2. поріг (threshold): попереджає “m” раз, коли бачимо цю подію протягом інтервалу часу.
3. обидва (both): попереджає один раз за інтервал часу після виявлення “m” випадків подій, потім ігнорує будь-які додаткові події протягом інтервалу часу.
Команди обмежень можуть включатися в правила, або можна використовувати команди автономного порогу, який посилається на генератор і “sid” до якого вони приймаються. Немає функціональної різниці між додаванням порогу до правила, або використанням окремої команди порогу, застосованої до того ж правила. Існує логічна різниця. Деякі правила мають сенс тільки з використанням порогу. Це повинно включити команду порогу в правилі. Наприклад, правило для виявлення багатьох спроб логіна пароля може вимагати більш ніж 5 спроб. Це можна зробити, використовуючи команду порогу “limit”. В цьому є значення, тому що характеристика порогу є становлячою частиною цього правила.
Для того, щоб правила порогів застосовувалися належним чином, ці правила повинні містити “sid”.
Тільки один поріг може застосовуватися до будь-якого даного генератора і пари “sid”. Якщо більш ніж один поріг застосований до генератора і пари “sid”, Snort закінчить роботу з помилкою в процесі читання конфігураційної інформації.
2.3.1. Автономні настройки
Цей формат підтримує 6 опцій порогу – потрібні всі.
Таблиця 2.12: Автономні настройки
| gen_id | < id генератора> |
| sig_id | < id сигнатур Snort> |
| type | limit, threshold або both |
| track | by_src або by_dst |
| count | < кількість подій> |
| seconds | < період часу, за який нагромадився рахунок> |
|
|