Esperar que alguien aquí sepa una forma de rechazar el tráfico Nikto con las reglas de Snort. Llevo días sin suerte, encontrando esto en cualquier lugar en línea. Gracias. Paz.
Si usa Conjunto oficial de reglas de Snort , entonces ya está incluido en el conjunto de reglas:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET SCAN Nikto Web App Scan in Progress"; flow:to_server,established; content:"(Nikto"; fast_pattern:only; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?\(Nikto/Hmi"; threshold: type both, count 5, seconds 60, track by_src; reference:url,www.cirt.net/code/nikto.shtml; reference:url,doc.emergingthreats.net/2002677; classtype:web-application-attack; sid:2002677; rev:14;)
Para agregar a lo que Mirsad dijo; Si tiene la intención de bloquear en el modo en línea Snort, debe establecer reglas desde alert to drop . Para cosas como escaneos, debe asegurarse de que su preprocesadores están correctamente sintonizados.
Lea otras preguntas en las etiquetas firewalls network ports vulnerability-scanners snort