Snort, agregue la regla de retransmisión de TCP

1

¿Puede alguien ayudarme a agregar una regla para la retransmisión de paquetes?

Encontré algo de documentación sobre las reglas de snort, pero estoy confundido sobre cómo usarlo. Las reglas que atrapan la retransmisión de paquetes atrapan el paquete original.

Estos son los paquetes para los que estoy tratando de agregar la regla

Estaeslareglaquesuponecapturarlaretransmisiónperotambiéncapturalospaquetesoriginales.

alerttcpanyany-><destinationAddress>22(msg:"SSH retransmission detected"; classtype: attempted0recon; sid: 999999)

También, solo para fines de comparación, quiero probar ambas reglas para que sean mutuamente exclusivas.

Gracias

    
pregunta Alex 10.03.2013 - 04:53
fuente

1 respuesta

1

A menos que haya agregado una nueva clase de ataque personalizada en su archivo classification.config con el nombre attempted0recon , no hay No hay ninguna clase de este tipo en Snort por defecto . Sin embargo, hay una clase llamada attempted-recon .

Tampoco ha configurado ningún filtro adicional para el que se debe informar el mensaje "Se detectó una retransmisión de SSH" , por lo que su ejemplo se leería como:

  

Alerta con clase attempted0recon y mensaje 'Retransmisión SSH   detectó ' cualquier conexión TCP entrante al puerto <destinationAddress>   22 originados desde cualquier dirección y puerto remotos.

No lo escribí en el orden exacto, ya que eso lo haría completamente ilegible, pero el formulario de reglas generales de Snort es:

action proto src_ip src_port direction dst_ip dst_port (options)

Por lo tanto, tu regla podría leerse así:

alert tcp any any -> <destinationAddress> 22 (msg:"SSH retransmission detected"; 
                                              content:"TCP Retransmission"; 
                                              nocase; 
                                              classtype:attempted-recon;)

para su regla en el ejemplo que proporcionó. Dado que la otra regla (primer paquete) no puede depender de ningún contenido de carga útil (ya que no veo ninguno en su impresión), podría, por ejemplo, usar dsize keyword en la parte de opciones para identificarlas por su tamaño y / o otro no Detecciones de carga útil :

alert tcp any any -> <destinationAddress> 22 (msg:"SSH key exchange"; 
                                              dsize: <518; 
                                              classtype:tcp-connection;)

Obviamente, podría adoptar estos para adaptarse mejor a sus necesidades y son solo ejemplos.

    
respondido por el TildalWave 11.03.2013 - 01:27
fuente

Lea otras preguntas en las etiquetas