alert tcp $ HOME_NET任何 - > $ EXTERNAL_NET any(msg:“通过Nick更改检测到COMMUNITY BOT IRC流量”; flow:to_server,established; content:“NICK”; nocase; offset:0; depth:5; flowbits:set,community_is_proto_irc; flowbits:noalert; classtype:misc-activity; sid:100000240; rev:3;)Snort规则问题跟踪IRC服务器活动
alert tcp $ EXTERNAL_NET any - > $ HOME_NET any(msg: “COMMUNITY BOT Internal IRC server detected”; flow:to_server,established; flowbits:isset,community_is_proto_irc; classtype:policy-violation; sid:100000241; rev:2;)
alert tcp $ HOME_NET any - > $ EXTERNAL_NET any (msg:“来自内部bot的CHAT IRC消息”;流程:建立;流程:i SSET,community_is_proto_irc;内容:“PRIVMSG”; NOCASE; CLASSTYPE:政策性侵犯; sid:1463;)
上述规则已由David Bianco编写,用于跟踪任何IRC端口上的IRC bot/server活动。但是,上述规则正常工作,但我有一个问题。当多个IRC服务器(其中一些在7000上工作,另一些在6667上工作)在网络上运行时,我的问题正在发生,其中一些将实现规则的条件,Snort将生成警报,其中一些(甚至一个)将不会实现这些条件,因此Snort不会生成任何与定义集有关的警报。我认为这是一种不一致。关于这个问题的任何建议?我正在研究Snort 2.8。
出于好奇,你删除了什么规则?交通没有达到多个规则,它只能匹配一个,所以我认为你删除了最初被击中的那些规则? –
在我的情况下,有一些规则试图捕获PRIVMSG消息。所以,我只是评论不需要的,以摆脱它对预期规则的影响。 – Aymen