在snort的规则配置中,我有:
alert tcp any any -> any any (msg:"HTTP Connection"; react:block;)
然而,当我加上:
alert icmp any any -> any any (msg:"HTTP Connection"; react:block;)
它给了我一个错误,react是不允许的ICMP。
还有其他方法来启用这个功能吗?
如何阻止snort中的数据包?
安装后最简单的测试Snort的方法是什么?是否会使用并编写一条捕捉所有流量工作的规则?
alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )
也就是说,使用自己的规则。
我知道的一种测试Snort的方法是使用一些程序,比如Nmap、Metasploit和其他一些东西,但是如何才能做到呢?
我是Linux环境的新手。我试图在我的Ubuntu机器上安装snort,当我安装它的时候,它经常卡在中间,上面写着:libnet, zlib, daq are not found。所以我试着下载这些软件包。然后我又开始安装snort,这一次我说的是pcre is not found。在windows中,如果我安装了一些软件,它会要求安装这些软件包,并下载这些包来执行安装。同样,在安装开始之前,是否有任何命令或其他东西可以知道需要哪些文件。