デフォルト以外に、snortで一般的に使用されるルールアクションにはどのようなものがありますか?
私は厳密なsnortルールパーサーを書いています。人気のあるプラグインからのsnortルールに対応したいと思います。ドキュメントでは、プラグインで定義できるため、任意のアクション/タイプが可能であると指定されています。ただし、ユーザーに警告をスローするために検索する既知のアクションのリストが必要です。
現在、私は次のsnortアクションを知っています:
alert
log
pass
activate
dynamic
drop
sdrop
reject
あなたが使用または知っている他のカスタムアクションはありますか?
カスタムアクションは、snort.confのルールタイプ宣言によって定義されます。これらのカスタムアクションは、ルールで使用できます。デフォルトのsnort.confから:
# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
# type log
# output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)
ルールタイプは完全に任意である可能性があるため、最初に定義されたルールタイプについてsnort.confファイルを解析してから、それをルールパーサーのアクションハッシュなどで使用する方が理にかなっています。
これは良い出発点かもしれません。これらがデフォルトだとは思わない。
blockとsblockは2.9.0.5(またはその周辺)で追加されました。詳細については、マニュアルを参照してください。これらは基本的にdropとsdropのミラーです。