regla de reemplazo de contenido de Snort y Suricata

1

Tengo que lidiar con Surikata IDS y su conjunto de reglas compatible con snort. Parcialmente lo necesito en modo IPS para hacer modificaciones de tráfico de salida. Por ahora mis "modificaciones" se ven así:

...
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:102; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:103; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:104; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:105; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:106; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:107; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:108; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:109; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:110; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:111; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:112; )
pass tcp 192.168.1.77 any -> any any (content:"apache"; nocase; replace:"------"; sid:113; )
...

... lo que es horrible. Debido a que suricata reemplaza solo la primera aparición de "contenido" en el paquete tcp. ¿Hay alguna forma de evitar este montón de reglas idénticas?

P.S Como de costumbre, supongo, uso NFQ para obtener paquetes relevantes.

    
pregunta AseN 02.12.2016 - 12:14
fuente

0 respuestas

Lea otras preguntas en las etiquetas