snort ips规则 - 拒绝工作但丢弃和sdrop不工作

Question

我尝试运行snort作为IPS。所以我通过Ubuntu的服务器上安装的Snort apt-get和配置daq_type为afpacket和daq_mode为内嵌。和2接口像的eth1：ETH2 后来我写测试

reject tcp any any -> any any (sid: 1000005;) 

规则它的工作，但是当我将其更改为

drop tcp any any -> any any (sid: 1000005;) 

这是行不通的。当我改变行动sdrop的结果是一样的。 和我从源安装snort，但结果是一样的。 你能帮忙写出真正的规则吗？

Answer 1

Snort可以在三种不同的模式下操作，即tap（无源），inline和inline-test。 如果您想使用丢弃规则丢弃数据包，您需要确保您以内联模式运行。从外观上看，你可能不是内联模式。 “拒绝”的原因是因为它会为TCP发送一个重置，这会停止该流的其余部分，或者它会向UDP发送一个ICMP端口不可达消息。看到从所述喷鼻息手册（http://manual.snort.org/node29.html）下面的解释上规则头：

降 - 块和日志数据包

拒绝 - 阻止该数据包，记录它，然后发送TCP重置如果协议是TCP或者如果协议是UDP，则为ICMP端口不可达消息。

sdrop - 阻止数据包但不记录它。

如果snort没有以内联模式运行，它不会实际丢弃数据包，它只会生成一个警报（用于丢弃）并传递数据包。

请参阅从喷鼻息手册以下的三种模式：http://manual.snort.org/node11.html#SECTION00295100000000000000 具体而言，串联模式被描述为如下：

当Snort是在串联模式，它作为一个IPS允许降的规则来触发。 Snort的可以配置为使用命令行参数-Q在串联模式下运行，并嗤之以鼻配置选项policy_mode如下：

snort -Q 
config policy_mode:inline 

你需要确保行“配置policy_mode：内联”的是你snort.conf中当你运行snort时，你传递“-Q”选项。如果这两项都没有完成，它不会下降。希望这可以帮助！