Snort规则配置问题

Question

我是snort的新手，所以希望您能帮助我。我正在尝试通过local.rules文件在snort中创建我自己的规则。我已经通过Virtual box在Windows 7上安装了snort。我的配置似乎工作得很好，因为我可以用字符串-T测试它，它工作得很好。此外，当我运行附加屏幕截图中的前三个简单规则时，标题为snort rules they work fine，我的问题是当我试图纠正一个特定的规则时，在这种情况下，当bit torrent被下载时，该规则被触发，但我得到了所有这些http_inspect错误。不确定它们是什么，以及我是否在snort.conf文件中遗漏了什么。我还没有接触过snort.conf中的预处理器设置。我得到的错误也包含在屏幕截图Snort输出中。我正在运行的规则语法是snort -i 1 -c c:\snort\etc\snort.conf -A console。该规则将记录在日志文件夹中，我还附加了wireshark输出。在这方面的任何帮助都将非常感谢。

谢谢Garreth

​

​

Answer 1

来自http_inspect的消息根本不是配置错误或错误，它们是从流量触发的预处理器规则的消息。具体来说，规则120:3:1 (GID = 120，SID = 3，REV = 1)。GID 120规则特定于来自http预处理器的http服务器检查。当http_inspect预处理器检测到异常网络通信时，此规则会生成一个事件。此规则的消息为“无内容长度或传输编码”。此规则所查看的是服务器响应头。可能是因为响应报头中没有"Content-Length“报头或没有"Transfer-Encoding”报头而发出警报。

以下是http服务器响应头的示例：

accept-range:字节

内容长度:67023552

内容类型:application/x-apple-diskimage

日期:清华，2016 -03- 10 05:32:31 GMT

服务器:下载

状态:200

服务器响应中应该始终有一个content-length标头，因为它告诉客户端这个请求有多少数据。当数据的实际长度不同于content-length头中显示的长度时，客户端应该丢弃它并抛出错误。如果没有content-length报头，客户端就不知道将要发送多少数据，也无法验证它是否获得了此请求的所有数据。如果服务器响应中缺少此标头，snort将生成您所看到的规则，因为这是异常流量。它也可能缺少transfer-encoding标头。在上面的示例中，您将注意到没有传输编码，所以如果服务器响应头看起来像上面这样，snort将生成此规则。传输编码报头不会出现在很多http响应中，这是正常的。我相信这些规则是在您拥有"extended_response_inspection“并且文本规则被设置为alert时生成的(您是否有一个snort正在拾取的preprocessor.rules文件，或者您的任何规则文件中都有这个规则？)。http server configuration options的snort手册中对此选项进行了解释。如果您不关心这些警报，您可以从您的规则文件中删除gid规则。如果您的规则文件中没有这些规则，那么可以将"no_alerts“选项添加到http服务器配置中。此选项的snort手册中：

“此选项关闭HTTP Inspect预处理器模块生成的所有警报。这对规则集中的HTTP规则没有影响。未指定任何参数。”

如果规则是由extended_response_inspection选项生成的，您还可以从http配置中删除该选项。

Answer 2

看起来您的tcp配置缺少端口和80之间的客户端/服务器/两者关键字。因此，将丢失80，并且仅针对8080将重新组装设置为两者。在配置文件中更改为：

                  preprocessor stream5_tcp: policy first, ports 80 8080

这意味着每个超文本传输协议端口都需要在stream5_tcp预处理器中列出，而且这不是强制的。

有关设置snort的更多信息，请访问以下链接：https://www.talentcookie.com/2015/05/snort-how-does-it-work/ https://www.talentcookie.com/2015/05/snort-an-open-source-ids-in-freebsd-10-or-above/ https://www.talentcookie.com/2015/10/snort-performance-is-your-snort-working-fast-enough/