¿Es posible escribir una regla de snort que coincida en 2 flujos diferentes?
Por ejemplo, en una comunicación desde el host-a < - > host-b que ocurre al mismo tiempo que una comunicación en host-a < - > host-c?
¿Es posible escribir una regla de snort que coincida en 2 flujos diferentes?
Por ejemplo, en una comunicación desde el host-a < - > host-b que ocurre al mismo tiempo que una comunicación en host-a < - > host-c?
La respuesta corta es "no". Snort opera principalmente en forma continua. Pero ayudaría saber específicamente qué estás tratando de hacer.
Si solo desea generar una única alerta cuando ambos eventos ocurren y esos dos eventos son diferentes, no puede hacerlo con una regla de texto. Sin embargo, si desea detectar que el host A hace lo mismo con el host B y el host C al mismo tiempo, puede usar detection_filter with track by_src para ver que el host está haciendo algo que no debería.
La respuesta larga es que puedes hacer todo tipo de cosas usando reglas de objetos compartidas y abusando del poder y la flexibilidad que brindan, pero explicar esto en un foro web sería difícil.
Lea otras preguntas en las etiquetas snort