Problema con la regla de Snort

4
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get2 method"; flow: to_server, established; dsize: >20; sid:1000006; priority: 15)

Snort no genera ninguna alerta, mientras que cuando escribo la siguiente regla:

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get1 method"; flow: to_server, established; dsize: <20; sid:1000005; priority: 15)

genera alerta

    
pregunta Nancy 15.10.2015 - 13:55
fuente

1 respuesta

1

Como afirma el manual de Snort:

  

La palabra clave dsize se usa para probar el tamaño de la carga útil del paquete. Esto se puede usar para verificar paquetes de tamaño anormal que puedan causar desbordamientos del búfer.

     

Este ejemplo busca un tamaño de entre 300 y 400 bytes.

     

dsize:300<>400;

Por lo tanto, esta configuración está causando la generación y la no generación de la alerta.

    
respondido por el nick 15.10.2015 - 16:17
fuente

Lea otras preguntas en las etiquetas