Snort может работать в трех разных режимах, а именно: tap (пассивный), inline и inline-test. Если вы хотите использовать правила отбрасывания для отбрасывания пакетов, вам нужно убедиться, что вы работаете в встроенном режиме. Судя по всему, вы, вероятно, не в встроенном режиме. Причина, по которой «отклонение» работает, заключается в том, что он отправит сброс для TCP, который остановит остальную часть этого потока, или отправит сообщение ICMP о недоступности порта обратно для UDP. См. следующие пояснения в руководстве snort (http://manual.snort.org/node29.html) в заголовках правил:
drop - блокировать и логировать пакет
Отклонить — заблокировать пакет, зарегистрировать его, а затем отправить сброс TCP, если используется протокол TCP, или сообщение ICMP о недоступности порта, если используется протокол UDP.
sdrop — заблокировать пакет, но не регистрировать его.
Если snort не работает в встроенном режиме, он не собирается фактически отбрасывать пакеты, он просто генерирует предупреждение (для отбрасывания) и передает пакеты.
См. следующее в руководстве snort по трем режимам: http://manual.snort.org/node11.html#SECTION00295100000000000000 В частности, встроенный режим описывается следующим образом:
Когда Snort находится в режиме Inline, он действует как IPS, позволяя запускать правила отбрасывания. Snort можно настроить для работы в встроенном режиме с помощью аргумента командной строки -Q и параметра конфигурации snort policy_mode следующим образом:
snort -Q
config policy_mode:inline
Вам нужно убедиться, что строка «config policy_mode:inline» в файле соответствует snort.conf, и когда вы запускаете snort, вы передаете параметр «-Q». Если оба из них не будут выполнены, он не упадет. Надеюсь это поможет!
person
johnjg12
schedule
19.03.2014
