explicación de la regla de snort

-1

Soy bastante nuevo en Snort, ¿Alguien podría explicar estas dos reglas? Específicamente, ¿por qué contienen más de un campo de "contenido"?

alert tcp $EXTERNAL_NET any -> $HOME_NET any (
msg:"ET TROJAN Reply Sinkhole - irc-sinkhole.cert.pl"; 
flow:established,from_server; 
content:"|3a|irc|2d|sinkhole|2e|cert|2e|pl"; 
nocase; 
fast_pattern:only; 
content:"|3a|End of MOTD command|2e|"; 
classtype:trojan-activity; 
sid:2019354; 
rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
msg:"ET MALWARE Adware.iBryte.B Install"; 
flow:to_server,established; 
content:"/impression.do/?"; 
http_uri; 
fast_pattern:only; 
content:"user_id="; 
http_uri; 
content:"event="; 
http_uri; 
content:"source="; 
http_uri; 
reference:md5,1497c33eede2a81627c097aad762817f; 
classtype:trojan-activity; 
sid:2018194; 
rev:4;)
    
pregunta CDominik 07.10.2015 - 21:31
fuente

1 respuesta

1
  

Específicamente, ¿por qué contienen más de un campo de "contenido"?

Si tiene varios campos content , snort intenta hacer coincidir el primer campo de contenido seguido del campo de segundos, etc. de manera recursiva. Tomé un ejemplo de modificado de aquí :

alert ip any any -> any any (content:"a"; content:"b";)

Esta regla buscaría a , una vez que coincidan, busque b . Si coincide correctamente, activa la alerta.

fast_pattern:only

Tal como se especifica en el manual de snort, es un modificador de regla content . Lo que significa que se aplica a la palabra clave content anterior. Una vez que snort encuentra una coincidencia para el content que sigue con fast_pattern , entonces comienza a evaluar las reglas (por ejemplo, coincide con otras palabras clave content ). En pocas palabras, la idea de fast_pattern es acelerar el procesamiento sin buscar coincidir con todos los campos content en la regla.

|3a|irc|2d|sinkhole|2e|cert|2e|pl en su primera regla se usa para la comparación rápida de patrones, una vez que la coincidencia es exitosa, snort busca |3a|End of MOTD command|2e| . Si falla la coincidencia de patrón rápido, snort omite la regla.

/impression.do/? en su segunda regla se usa para una rápida comparación de patrones, una vez que la coincidencia es exitosa, snort busca user_id= , seguido inmediatamente por event= e inmediatamente seguido por source= . Si falla la coincidencia rápida de patrones, snort omite la regla.

    
respondido por el Dr. mattle 07.10.2015 - 23:59
fuente

Lea otras preguntas en las etiquetas