我需要以下两个问题的帮助来创建Snort的规则。
- 当使用表示Viber的网络流量时,会生成警报。
- 警报尺寸的任何包装> 100个字节的包含网络的100个字节172.20.0.0带有SNM255.240.0.0指定为港口80。
a。取自https://commons.erau.edu/cgi/viewcontent.cgi?article=1477&; context = jdfsl
- 在工作中进行的分析涵盖了最新版本的Viber 6.2.2,并为Android和iOS平台进行了验证。
- Viber通常通过UDP端口7985、7987、5243和9785进行通信。您将需要创建,编写在这些提到的端口上检测TCP和UDP流量的规则。例如。
那么这样的东西: -alert udp any any -> $HOME_NET 7985 (msg: "Viber Traffic"; sid:10000001; rev: 1;)
b。确保您的$ home_net在您的snort.conf,ergo中正确设置,您想在" home" $ home_net下使用哪些子网。 -alert tcp 172.20.0.0 any -> $HOME_NET 80 (msg: "Traffic from the 172.20.0.0 addr"; dsize:>100;sid:10000001; rev: 1;)