alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: «Сообщение IRC-трафика BOT, обнаруженное изменением ника»; поток: to_server, установлен; содержимое: «NICK»; без регистра; смещение: 0; глубина: 5; потоковые биты: набор, community_is_proto_irc; потоковые биты: noalert; тип класса: разная активность; sid: 100000240; версия: 3;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg: «Обнаружен внутренний IRC-сервер COMMUNITY BOT»; поток: to_server, установлен; потоковые биты: isset, community_is_proto_irc; тип класса: нарушение политики; sid: 100000241; версия: 2;)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: «Сообщение CHAT IRC от внутреннего бота»; поток: установлен; потоковые биты: isset, community_is_proto_irc; содержимое: «PRIVMSG»; nocase; тип класса: нарушение политики; sid: 1463; )
Приведенные выше правила написаны Дэвидом Бьянко. для отслеживания активности бота/сервера IRC на любом порту IRC. Однако приведенные выше правила работают нормально, но у меня с ними проблема. Моя проблема возникает, когда несколько IRC-серверов (некоторые из них работают на 7000, а другие работают на 6667) работают в сети, некоторые из них достигают условий правил, и Snort генерирует предупреждения, а некоторые из них (или даже один) из них) не будет выполнять эти условия, и в результате Snort не будет генерировать никаких предупреждений, связанных с определенным набором. Я думаю, что есть какое-то несоответствие. Есть предложения по этому вопросу? Я работаю над Snort 2.8.