私はスノーを使っています。設定中に、decoder.rulesやpreproc.rulesなどのルールファイルが見つかりました。 snort.confでこれらのルールを有効にする目的を教えてくれる人はいますか?
ベストアンサー1
Snortのデコーダはパケットの構造を調べ、IPヘッダなどのエントリを検索します。プリプロセッサは、断片化されたパケットを再構成し、プロトコルフロー(HTTPなど)を追跡することを担当します。通常のsnortルールと同様に、疑わしく形成されたパケットやその他の条件に関する警告を生成することもできます。
preproc.rulesファイルとdetector.rulesファイルを含めると、snort.confでロードして有効にした可能性があるデコーダとプリプロセッサに組み込まれた警告を有効にできます。ルールが含まれていない場合、snortは警告を無効にします。
以前のバージョンのsnortはデフォルトでこれらのアラートを有効にしていましたが、必要でない場合はアラートを抑制する必要があり、これは管理するのがより困難でした。