LINUX.ORG.RU
ФорумAdmin

snort как заставить его аналезировать мелкие пакеты?

 , , , ,


0

1

Вот конфиг: http://paste.debian.net/785678/

Вот правило:

alert tcp any any -> any 80 (dsize:>78; content:"casino.org"; fast_pattern; content: "/ruletka.html"; nocase; rev:1; sid: 1000001; react;)

Если посылать пакет с нормальным mtu, то реакция есть:

Распознаётся casino.org (casino.org)… 212.113.133.146
Подключение к casino.org (casino.org)|212.113.133.146|:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа... 301 Moved Permanently
Адрес: https://www.casino.org/ruletka.html [переход]
--2016-07-28 01:07:44--  https://www.casino.org/ruletka.html
Распознаётся www.casino.org (www.casino.org)… 104.122.248.110
Подключение к www.casino.org (www.casino.org)|104.122.248.110|:443... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа... 404 Not Found
2016-07-28 01:07:44 ОШИБКА 404: Not Found.

07/27-22:07:44.258682  [**] [1:1000001:1] [**] [Priority: 0] {TCP} 10.247.1.14:33792 -> 212.113.133.146:80

Если посылать пакет с маленьким mtu через wget или netcat, то реакции нет. Как заставить snort блокировать мелкие пакеты?

★★★★★

Оно?

Preprocessor parameters are configured and tuned via the snort.conf file. The same snort.conf file lets you add or remove preprocessors as you see fit.

frag2 The frag2 preprocessor is Snort's weapon against IP fragmentation attacks.

Конфиг не читал, с телефона лениво и неудобно.

leave ★★★★★ ()
Ответ на: комментарий от leave
ERROR: /etc/snort/snort.conf(283) Unknown preprocessor: "frag2".
Fatal Error, Quitting..
ne-vlezay ★★★★★ ()

Не бывает пакетов с маленьким MTU.

melkor217 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.