REJECT Nikto Scans With Snort Rules

1

Esperar que alguien aquí sepa una forma de rechazar el tráfico Nikto con las reglas de Snort. Llevo días sin suerte, encontrando esto en cualquier lugar en línea. Gracias. Paz.

    
pregunta Listen 26.07.2017 - 03:01
fuente

2 respuestas

1

Si usa Conjunto oficial de reglas de Snort , entonces ya está incluido en el conjunto de reglas:

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET SCAN Nikto Web App Scan in Progress"; flow:to_server,established; content:"(Nikto"; fast_pattern:only; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?\(Nikto/Hmi"; threshold: type both, count 5, seconds 60, track by_src; reference:url,www.cirt.net/code/nikto.shtml; reference:url,doc.emergingthreats.net/2002677; classtype:web-application-attack; sid:2002677; rev:14;)
    
respondido por el Mirsad 26.07.2017 - 05:35
fuente
1

Para agregar a lo que Mirsad dijo; Si tiene la intención de bloquear en el modo en línea Snort, debe establecer reglas desde alert to drop . Para cosas como escaneos, debe asegurarse de que su preprocesadores están correctamente sintonizados.

    
respondido por el SCIS Security 26.07.2017 - 07:13
fuente

Lea otras preguntas en las etiquetas