Snort: Làm thế nào để chặn Traffic đáng ngờ?

Theo mặc định, Snort (Debian) có rất nhiều Quy tắc. Tất cả đều được định cấu hình là âAlertâ. Khi tôi muốn chặn lưu lượng đáng ngờ (IPS-Mode), tôi có cần thay đổi tất cả các Quy tắc từ Cảnh báo sang Chặn hay có cơ chế nào khác không?

Thực hành tốt nhất là gì?

Sử dụng snort được cài đặt cục bộ trên máy chủ sản xuất của bạn không phải là một ý kiến ​​hay. vì trong trường hợp bị tấn công, nó sử dụng tài nguyên của máy chủ cục bộ của bạn để bảo vệ dịch vụ và điều này gây ra tình trạng quá tải tài nguyên và bản thân dịch vụ sẽ ngừng hoạt động.

bạn nên tách loại dịch vụ này(IDP(Intrusion-Detection_Prevention)) khỏi các máy chủ sản xuất của mình.

Một gợi ý khác là sử dụng pfSense thay thế. Pfsense là một tường lửa dựa trên BSD (FreeBSD) với Snort và nhiều thành phần khác được kích hoạt trên đó với một GUI đẹp và sạch sẽ. Mặc dù tôi là một fan hâm mộ tuyệt vời của dòng lệnh, nhưng trong một số trường hợp, đặc biệt là các cuộc tấn công, tính dễ sử dụng lại là một điểm cộng.

Theo tài liệu: https://www.snort.org/faq/readme-filters Bạn có thể đặt bộ lọc.

detect_filter là tùy chọn quy tắc mới thay thế từ khóa ngưỡng hiện tại trong quy tắc. Nó xác định tốc độ mà máy chủ nguồn hoặc đích phải vượt quá trước khi quy tắc có thể tạo sự kiện.

tỷ lệ_bộ lọc cung cấp khả năng ngăn chặn tấn công dựa trên tỷ lệ bằng cách cho phép người dùng định cấu hình một hành động mới sẽ thực hiện trong một thời gian xác định khi vượt quá tỷ lệ nhất định.

event_filter là một lệnh độc lập thay thế 'ngưỡng', hiện đã lỗi thời. event_filters giảm lượng dữ liệu được ghi lại.