Estoy usando snortsam para bloquear direcciones IP. No puedo usar el modo en línea y nfqueue ya que reduce considerablemente el rendimiento del tráfico de red.
Actualmente estoy intentando detectar anomalías del protocolo TCP y bloquear las fuentes. Estoy usando el preprocesador de flujo para esto. Pero el problema es que snort genera alertas para estas anomalías, pero no puede bloquearlas mediante snortsam.
Esta regla genera las alertas (pero no con el mensaje "MI MENSAJE DE ALERTA", sino con el mensaje en gen-msg.map)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "MY ALERT MESSAGE"; gid: 129; sid: 2; metadata: rule-type preproc)
Cuando agrego fwsam a la regla:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: "MY ALERT MESSAGE"; gid: 129; sid: 2; metadata: rule-type preproc; fwsam:src, 10 seconds;)
Snort da el siguiente error al iniciar:
Preprocessor and decoder rules do not support detection options: fwsam.
Como dije al principio, usar snort en el modo en línea no es una opción para mí debido al grave impacto en el rendimiento de la red. Entonces, ¿cómo puedo bloquear estas alertas generadas por preprocesadores utilizando snortsam?
Gracias.