¿Es posible agregar comodines o algo que funcionaría como ellos a una dirección IP de la regla de snort?
Por ejemplo:
Si me gustaría detectar la ip de origen: 192.168.*.9
Donde el tercer octeto puede ser cualquier cosa en el rango 1-255, pero el cuarto octeto tiene que ser exactamente '9'.
Snort no admite comodines o expresiones regulares en direcciones IP / rangos . Admite notación CIDR para rangos de IP, algunas variables preconfiguradas en snort.conf like $HOME_NET y similar, y un ! para IP o negación del rango de IP (edición: Oh, y por supuesto any , pero no !any ).
Sin embargo, lo que podría hacer es definir una nueva ipvar variable , rellénela con la lista de IP que coincide con sus requisitos, y luego consúltela en la definición de reglas para simplificar las cosas y evitar agregar 256 reglas individuales:
ipvar ENDS_WITH_A_NINE [192.168.0.9,192.168.1.9,192.168.2.9,192.168.3.9,192.168.4.9, ... ]
alert tcp $ENDS_WITH_A_NINE any -> any any (msg:"Last octet of 9 detected!"; sid:9;)
De esta manera, será mucho más fácil mantener sus reglas de Snort. Me doy cuenta de que no parece elegante, pero no debería tardar más de unos pocos minutos en copiar las 256 direcciones IP posibles en la lista de variables, y los tiempos en crear las 256 reglas, luego nos damos cuenta de que necesita cambiar algo. ellos.
De todos modos, espero que esto ayude! ;)