decoder.rules & preproc.rules在Snort中的应用

Question

我在和snort一起工作。在配置过程中，我遇到了一些规则文件，如decoder.rules和preproc.rules。有谁能告诉我在snort.conf中启用这些规则的用法吗？

Answer 1

Snort的解码器查看数据包的结构，并检索类似IP报头之类的内容。预处理器负责诸如重构分段数据包和跟踪协议流(如HTTP )等事务。它们还能够为可疑形成的数据包或其他情况生成警报，就像常规snort规则一样。

通过包含preproc.rules和decoder.rules文件，您可以启用在snort.conf中加载和启用的解码器和预处理程序中内置的警报。如果没有包含规则，snort将禁用警报。

默认情况下，旧版本的snort启用了这些警报，如果不需要，则需要禁用警报，这更难管理。