Snort en modo IDS:
Si hay algo de tráfico que NO encuentra ninguna regla coincidente contra todas las reglas de Snort existentes, ¿cómo escribiría una regla de abajo para alertar a este tráfico?
Lo siento, pero Snort no está realmente diseñado para eso. Parece que quieres algo más como un firewall.
Snort es un sistema de detección de intrusiones, cuyo trabajo es resaltar el tráfico sospechoso o malicioso que observa para informar a las personas que monitorean la red: "¡Mire aquí!" Alertar sobre cada pieza de tráfico que pasa es prácticamente lo contrario de lo que Snort debe hacer.
Hay otras soluciones que serían más adecuadas para lo que estás preguntando.
Si solo está buscando metadatos, un firewall con la capacidad de registro sería perfecto. Simplemente puede poner una regla de "permitir cualquier - > cualquier registro" en la parte inferior y luego tendrá un archivo de registro con todos los metadatos para cada conexión.
Si desea capturar el tráfico real que se observa, independientemente de si activa una regla o no, es probable que desee configurar una utilidad de captura de paquetes con la capacidad de rotar los archivos de registro. Muchos dispositivos de seguridad locales se construyen de esta manera para que los investigadores de seguridad puedan examinar el tráfico que sus IDS pueden haber perdido. Para las conexiones de alto ancho de banda, las personas usan algo como netsniff-ng. Si está buscando algo que no solo capture el tráfico sino que también le brinde una interfaz para examinar y descargar pcap, consulte enlace que es gratis.
Lea otras preguntas en las etiquetas snort