explicación de la regla de snort

Question

explicación de la regla de snort

#1 de Dr. mattle (1 votos)

-1

Soy bastante nuevo en Snort, ¿Alguien podría explicar estas dos reglas? Específicamente, ¿por qué contienen más de un campo de "contenido"?

alert tcp $EXTERNAL_NET any -> $HOME_NET any (
msg:"ET TROJAN Reply Sinkhole - irc-sinkhole.cert.pl"; 
flow:established,from_server; 
content:"|3a|irc|2d|sinkhole|2e|cert|2e|pl"; 
nocase; 
fast_pattern:only; 
content:"|3a|End of MOTD command|2e|"; 
classtype:trojan-activity; 
sid:2019354; 
rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
msg:"ET MALWARE Adware.iBryte.B Install"; 
flow:to_server,established; 
content:"/impression.do/?"; 
http_uri; 
fast_pattern:only; 
content:"user_id="; 
http_uri; 
content:"event="; 
http_uri; 
content:"source="; 
http_uri; 
reference:md5,1497c33eede2a81627c097aad762817f; 
classtype:trojan-activity; 
sid:2018194; 
rev:4;)

snort

pregunta CDominik 07.10.2015 - 21:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas snort

No se puede abrir el puerto en Windows 7 [cerrado] ¿Cómo se configura Apache para resolver la "Defensa de secuencias de comandos cruzadas que faltan" mediante el análisis de la aplicación [cerrado]

score 1 · Accepted Answer

Específicamente, ¿por qué contienen más de un campo de "contenido"?

Si tiene varios campos content , snort intenta hacer coincidir el primer campo de contenido seguido del campo de segundos, etc. de manera recursiva. Tomé un ejemplo de modificado de aquí :

alert ip any any -> any any (content:"a"; content:"b";)

Esta regla buscaría a , una vez que coincidan, busque b . Si coincide correctamente, activa la alerta.

fast_pattern:only

Tal como se especifica en el manual de snort, es un modificador de regla content . Lo que significa que se aplica a la palabra clave content anterior. Una vez que snort encuentra una coincidencia para el content que sigue con fast_pattern , entonces comienza a evaluar las reglas (por ejemplo, coincide con otras palabras clave content ). En pocas palabras, la idea de fast_pattern es acelerar el procesamiento sin buscar coincidir con todos los campos content en la regla.

|3a|irc|2d|sinkhole|2e|cert|2e|pl en su primera regla se usa para la comparación rápida de patrones, una vez que la coincidencia es exitosa, snort busca |3a|End of MOTD command|2e| . Si falla la coincidencia de patrón rápido, snort omite la regla.

/impression.do/? en su segunda regla se usa para una rápida comparación de patrones, una vez que la coincidencia es exitosa, snort busca user_id= , seguido inmediatamente por event= e inmediatamente seguido por source= . Si falla la coincidencia rápida de patrones, snort omite la regla.