Snortウェブサイトのブロックルール

Question

システムが（IPを使用して）特定のウェブサイトにアクセスできないようにするスノートルールを作成しようとしましたが、今までこれを試しました。

alert tcp any any <> 'ipaddress' any (content: "web url"; msg: "Access Denied"; react:block; sid:1000005;) 

これはなぜ機能しないのでしょうか？

Answer 1

私は完全に一定ではないんだけど、それはあなたがあなただけの指定されたURLにアクセスしてパケットを廃棄しドロップを使用する必要がありますIDSに警告警告を使用していることかもしれません。

Answer 2

のSnortを使用することができるいくつかのアクションがあります

• 警告をパケットを
• パスをログ
• ログを選択したアラート方法を使用して、アラートを生成し、そのパケットをログパケットを無視する
• アラートを有効にしてから有効化ルールによって活性化されるまで
• 動的がアイドル状態のまま別の動的ルールに、ログ・ルールとして
• ドロップブロックとして作用し、
• 拒否ブロックパケットをパケットログ、それをログ、およびプロトコルがTCPの場合はTCPリセットを、プロトコルがUDPの場合はICMPポート到達不能メッセージを送信します。
• sdropパケットをブロックしますが、ログに記録しません。

これらのあなたがドロップ、はあなたがリセットを送信するかどうかに応じて、またはsdropを拒否し、いずれかのログのいずれかをしたいあなたの状況ではドキュメントページSnort Rule Headers

で見つけることができますか否か。

あなたの現在のブロックがブロックされない理由は、アラートはパケットを記録するだけです。