Цель правил фырканья

Question

Цель правил фырканья

Так, например, зачем мне scan.rules когда есть что-то вроде препроцессора sfportscan? Это потому, что препроцессор не может обнаружить все действия, и поэтому существует механизм обнаружения, использующий правила с хорошо известными сигнатурами сетевых атак, пытающихся найти совпадение? Но есть и правила preproc, поэтому я немного запутался. Таким образом, препроцессор использует свои собственные правила, и тогда существуют нормальные правила на случай, если ни одно из этих правил препроцессора не нашло соответствия?

Спасибо за ответ.

0

snort intrusion-detection

Источник

user4958564 21 апр '17 в 18:14

1 ответ

Другие вопросы по тегам snort intrusion-detection

user3604551 27 ноя '17 в 17:30 2017-11-27 17:30 · Answer 1 · 2017-11-27 17:30

Правила препроцессора используются для включения или отключения (или изменения) событий, запускаемых препроцессорами. Смотрите руководство по фырканью

Файл scan.rules не имеет ничего общего с препроцессором sfportscan. Он предназначен как файл-контейнер для хранения правил, которые обнаруживают возможные события сканирования. Это облегчает исключение / включение правил для пользователей, которым не нужен весь набор правил.