Cómo usar una condición OR con el contenido de una regla de snort

Navega tus respuestas
1

Comprendo que si especifica varios contenidos, la regla solo se activa si se cumplen TODAS las condiciones del contenido.

Pero quiero crear una regla que se activará incluso si se detecta alguna de las palabras clave de contenido. Tenga en cuenta que tiene que estar en una sola regla. Quizás algo como esto:

alert tcp any any -> any 21 (msg: "FTP traffic"; content: "USER" OR content: "PASS"; sid: 666;)

Lo que estoy tratando de lograr es una regla que bloquea solo el tráfico FTP en el puerto 21 pero permite otro tráfico. Así que pensé que podría simplemente listar todos los comandos crudos de FTP en el contenido. Tenga en cuenta que tiene que ser una regla ÚNICA.

Gracias

    
pregunta ritratt 14.02.2014 - 21:02
fuente

1 respuesta

1

Este concepto hará el truco por ti. 

alert tcp any any -> any 21 (msg:"FTP traffic"; pcre:"/USER|PASS/i"; sid:666; rev:1;)

Esta es una coincidencia que no distingue entre mayúsculas y minúsculas ( /i ), expresión regular compatible con Perl ( pcre ) para USER o ( | ) PASS.

Si desea agregar comandos adicionales, simplemente agréguelos al final de la expresión regular como ... 

/USER|PASS|PASV|.../

Que yo sepa, no es posible tener un operador OR para las coincidencias de contenido. En su lugar, haga dos reglas (que indicó que no desea hacer).

  1. Busca USER
  2. Busca PASS

He visto a muchas personas indicar que el uso de PCRE en Snort es costoso y debe evitarse. Suponiendo que se use de manera efectiva, no creo que haya un gran problema, pero nunca he capturado métricas de rendimiento, ya que rara vez he usado PCRE para hacer coincidir las reglas. Si utiliza la regla PCRE anterior, considere aplicarla con content y flow . ¡Cómo está escrito actualmente Snort inspeccionará cada paquete que coincida con el encabezado ( tcp any any -> any 21 )!

enlace
enlace
enlace

Sin más detalles sobre dónde está / dónde está tratando de llegar a / lo que tiene disponible, también debe revisar el preprocesador de FTP para ver si puede ayudarlo a lograr su objetivo general.

enlace

    
respondido por el user1801810 06.03.2014 - 21:25
fuente

Lea otras preguntas en las etiquetas

¿por qué las credenciales no se muestran en mitmproxy? ¿Usar el certificado TLS como servidor y como cliente?