Перенаправить пользователя, который пытается просмотреть вредоносный URL-адрес или тот, которого нет в списке правил snort?

Question

Перенаправить пользователя, который пытается просмотреть вредоносный URL-адрес или тот, которого нет в списке правил snort?

У меня довольно простая встроенная система IPS, использующая Snort в качестве системы обнаружения. Мне было интересно, возможно ли с помощью Snort перенаправить пользователя, который пытается просмотреть URL, который находится в запрещенном списке.

Я подписан на обновленную / самую свежую базу данных Snort, и она работает и дает мне предупреждения, но единственное, что я видел до сих пор по теме перенаправлений, - это перейти:

Вредоносная атака -> Snort распознает атаку -> перенаправляется на honeypot, а не:

Пользователь в локальной сети -> распознавание запрещенного сайта -> переадресация на страницу xyz

0

snort

Источник

user3586341 17 авг '14 в 22:36

1 ответ

Другие вопросы по тегам snort

user2957994 23 авг '14 в 02:17 2014-08-23 02:17 · Answer 1 · 2014-08-23 02:17

Вы можете использовать ключевое слово Snort replace в правиле, чтобы заменить запрещенный URL-адрес URL-адресом по вашему выбору. Единственное уточнение при использовании ключевого слова - новый текст должен иметь ту же длину, что и предыдущий текст.

Вы также можете использовать ключевое слово реагировать, чтобы ответить HTML-страницей по вашему выбору, но это также заблокирует соединение.