Рейтинг:0

Snort: Как заблокировать подозрительный трафик?

флаг ps

Snort поставляется по умолчанию (Debian) с кучей правил. Все они настроены как «Предупреждение». Когда я хочу заблокировать подозрительный трафик (режим IPS), мне нужно изменить все правила с предупреждения на блокировку или есть другой механизм?

Что такое лучшая практика?

Рейтинг:0
флаг ga

Согласно документации: https://www.snort.org/faq/readme-filters Вы можете установить фильтры.

discovery_filter — это новый параметр правила, который заменяет текущее пороговое ключевое слово в правиле. Он определяет скорость, которая должна быть превышена исходным или целевым хостом, прежде чем правило сможет генерировать событие.

rate_filter обеспечивает предотвращение атак на основе скорости, позволяя пользователям настраивать новое действие, которое будет выполняться в течение определенного времени при превышении заданной скорости.

event_filter это отдельная команда, которая заменяет «threshold», который сейчас устарел. event_filters уменьшают количество регистрируемых данных.

Рейтинг:0
флаг us

Использование snort, локально установленного на вашем рабочем сервере, не является хорошей идеей. так как в случае атаки он использует ресурсы вашего локального сервера для защиты сервиса, а это вызывает перегрузку ресурсов и сам сервис падает.

рекомендуется отделить этот тип службы (IDP (Intrusion-Detection_Prevention)) от ваших рабочих серверов.

Другое предложение состоит в том, чтобы использовать pfSense вместо. Pfsense — это брандмауэр на основе BSD (FreeBSD) с включенным Snort и многими другими компонентами с отличным красивым и чистым графическим интерфейсом. Хотя я большой поклонник командной строки, но в некоторых случаях, особенно при атаках, простота использования является плюсом.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.