snort ips règle - refuser le travail, mais baisse et sdrop ne fonctionnent pas

j'essaie de le lancer snort comme un IPS. j'ai donc installer snort sur le serveur ubuntu via apt-get et config daq_type comme afpacket et daq_mode comme inline. et 2 interface comme eth1:eth2
puis-je écrire une règle pour le test

reject tcp any any -> any any (sid: 1000005;)

ce travail, mais quand je l'ai changer pour 

drop tcp any any -> any any (sid: 1000005;)

il ne fonctionne pas. et lorsque je passe à l'action pour sdrop le résultat est le même.
et j'ai installer snort à partir de la source, mais le résultat était le même.
pouvez-vous m'aider à écrire la vraie règle?

  • pas de corps à l'aide. aide s'il vous plaît
InformationsquelleAutor Thomas Anderson | 2014-03-02
  1. 7

    Snort peut fonctionner dans trois modes différents, à savoir appuyez sur (passive), en ligne, et en ligne-test.
    Si vous souhaitez utiliser déposer les règles de déposer des paquets, vous devez vous assurer que vous exécutez en mode inline. Apparemment vous n'êtes probablement pas en mode inline. La raison de "rejeter" est le travail, c'est parce qu'il va envoyer un reset de la TCP, qui sera le reste de ce cours d'eau, ou il va envoyer une requête ICMP port unreachable message de retour pour UDP. Voir les explications suivantes à partir de l'snort manuel (http://manual.snort.org/node29.html) sur la règle des en-têtes:

    de chute de bloc et du journal le paquet

    rejeter - bloquer le paquet, connectez-vous, puis envoyez un TCP reset si le protocole est TCP ou un ICMP port unreachable message si le protocole UDP.

    sdrop - bloquer les paquets, mais ne pas l'enregistrer.

    Si snort est pas en cours d'exécution en mode inline, il ne va pas réellement supprimer le paquet(s), il suffit de générer une alerte (pour drop) et passer le paquet(s).

    Voir la suite de l'snort manuel sur les trois modes: http://manual.snort.org/node11.html#SECTION00295100000000000000
    Plus précisément, mode inline est décrite comme suit:

    Quand Snort est en mode Inline, il agit comme un IPS permettant de déposer les règles de déclenchement. Snort peut être configuré pour s'exécuter en mode inline à l'aide de l'argument de ligne de commande -Q et snort option de configuration policy_mode comme suit:

    snort -Q
config policy_mode:inline

    Vous devez vous assurer que la ligne "config policy_mode:inline" dans est vous snort.conf et lors de l'exécution de snort vous passez l'option "-Q" option. Si ces deux ne sont pas fait, il ne sera pas tomber. Espérons que cette aide!

    • comment puis-je activer le mode inline dans windows comme user5670635 mentionnés ci-dessous
    InformationsquelleAutor johnjg12