ポート443および447のトラフィックでアラートを送信するsnortルールを作成します
学習プラットフォームを使用する場合、主題はsnortルールです。
質問は:
宛先ポートが443および447のトラフィックでアラートを送信するsnortルールを作成します。
私の試み:
alert tcp any any -> any 443 447 ( msg:"Sample alert"; sid:1; rev:1; )
alert tcp udp any any -> any 443 447 ( msg:"Sample alert"; sid:1; rev:1; )
私の答えは間違っており、その理由はわかりません。どんなポインタでも大歓迎です。
イマーシブラボでは、この正確なケースを解決する必要がありました。これはあなたが探しているルールです:
alert tcp any any -> any [443,447] ( msg:"Sample alert"; sid:1000001; rev:1; )
また、私はあなたのsidに気づきました:1。 1,000,000までのすべてのSIDは予約されています。したがって、sidは少なくとも1000001でなければなりません。
注:リストの各ポートの間にはスペースを入れないでください。
私は鼻に慣れていません。ただし、 snortドキュメント はこの例を示しています。
アラートtcp any any-> 192.168.1.1 80(msg: "A ha!"; content: "attack"; sid:1;)
構造は次のとおりです。
action proto source dir dest(body)
また、次のように述べています。
source-送信IPアドレスとポートを指定します。どちらもキーワードanyにすることができます。これはワイルドカードです。
dir-上記の単方向または<>で示される双方向のいずれかである必要があります。
dest-ソースに似ていますが、受信側を示します。
一度に複数のポートを照合できるという指示はありません。したがって、次のルールを試してみます。
アラートtcp any any-> any 443(msg: "Sample alert 443"; sid:1; rev:1;)
アラートtcp any any-> any 447(msg: "Sample alert 447"; sid:2; rev:1;)
編集:1つのルールでこれを達成する方法が質問である場合は、次のことを試してください。
アラートtcp any any-> any [443,447](msg: "Sample alert"; sid:1; rev:1;)
また、おそらく このサイト も役立つでしょう。