SecPath F100-C-A5 导入自定义入侵特征
- 0关注
- 0收藏,364浏览
问题描述:
现想控制内网主机dns请求,并阻止包含特定域名的dns请求。文档上描述通过编辑Snort格式的IPS特征文件,现在想找上述文件,请问有谁有吗?感谢
- 2024-06-17提问
- 举报
-
(0)
最佳答案
自个创建就行
通过IPS自定义Snort规则过滤访问淘宝网站。
1.定义Snort规则文件
在PC上新建“taobao.rules”,编辑增加如下四条规则。编辑完成的文件见附件。
Snort规则共四条,分别检测DNS,HTTP,HTTPS协议请求:
(1)alert udp any any -> any 53 (msg:"DNS Query for *.***.***"; flow:established,to_server; content:"|06|taobao|03|com"; fast_pattern:only; nocase; classtype:not-suspicious; sid:2016001; rev:1;)
检测UDP传输DNS协议请求域名字段是否含有|06|taobao|03|com
(2)alert tcp any any -> any 53 (msg:"DNS Query for a *.***.***"; flow:established,to_server; content:"|06|taobao|03|com"; fast_pattern:only; nocase; classtype:not-suspicious; sid:2016002; rev:1;)
检测TCP传输DNS协议请求域名字段是否含有|06|taobao|03|com
(3)alert tcp any any -> any 80 (msg:"HTTP Request for *.***.***"; flow:established,to_server; content:".***.***"; fast_pattern:only; nocase; http_header; pcre:"/Host\x3A\x20[^\n]{0,16}\x2Etaobao\x2Ecom/Hi"; classtype:not-suspicious; sid:2016003; rev:1;)
检测HTTP请求host字段是否含有.***.***
(4)alert tcp any 443 -> any any (msg:"HTTPS Request for *.***.***"; flow:established,to_client; content:"|24|Alibaba (China) Technology Co., Ltd"; fast_pattern:only; nocase; classtype:not-suspicious; sid:2016004; rev:1;)
检测https证书字段是否含有$Alibaba (China) Technology Co., Ltd
2.导入Snort文件至设备
[H3C]ips signature import snort tftp://10.88.8.196/taobao.rules(或者先通过tftp或者ftp方式上传至设备)
3.在自定义IPS策略上使能规则
<H3C>dis ips signature user-defined
User-defined signatures total:4 failed:0
Flag:
Pre: predefined User: user-defined
Type Sig-ID Direction Severity Fidelity Category Protocol
User 538886913 To-server Low Low UDP
User 538886914 To-server Low Low TCP
User 538886915 To-server Low Low TCP
User 538886916 To-client Low Low TCP
[H3C]ips policy test
[H3C-ips-policy-test]signature override user-defined 538886913 enable reset logging
[H3C-ips-policy-test]signature override user-defined 538886914 enable reset logging
[H3C-ips-policy-test]signature override user-defined 538886915 enable reset logging
[H3C-ips-policy-test]signature override user-defined 538886916 enable reset logging
4.在域间策略中调用IPS策略
5.激活策略
[H3C]inspect activate
Rule&#39;s activity begin:100%
- 2024-06-17回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论