ESR-Series Documentation 1.17.3
Дерево страниц

Сравнение версий

Старая версия 14

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 15

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Задать имя и перейти в режим конфигурирования набора пользовательских правил.

esr(config)# security ips-category user-defined <WORD>

<WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов.

2

Задать описание набора пользовательских правил (не обязательно).

esr(config-ips-category)# description <DESCRIPTION>

<DESCRIPTION> –описание задаётся строкой до 255 символов.

3

Создать расширенное правило и перейти в режим его конфигурирования.

esr(config-ips-category)# rule-advanced <SID>

<SID> – номер правила, принимает значения [1.. 4294967295].

4

Задать описание правила (не обязательно).

esr(config-ips-category-rule-advanced)# description <DESCRIPTION>

<DESCRIPTION> –описание задаётся строкой до 255 символов.

5

Указать действие данного правила.

esr(config-ips-category-rule-advanced)# rule-text <LINE>

<CONTENT> -текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.

Примечание

При написании правил символ '' требуется заменить на символ 'в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').


6Активировать правило.

esr(config-ips-category-rule-advanced)# enable


...

Блок кода
esr(config-ips-category)# rule-advanced 1
esr(config-ips-category-rule-advanced)# description "Slow Loris rule 1"
esr(config-ips-category-rule-advanced)# rule-text "'alert tcp any any -> any 80 (msg:'"Possible Slowloris Attack Detected'"; flow:to_server,established; content:'"X-a|3a|'"; distance:0; pcre:'"/\d\d\d\d/'"; distance:0; content:'"|0d 0a|'"; sid:10000001;)"'

Создадим ещё одно расширенное правило, работающее по схожему алгоритму, чтобы определить, какое из правил будет эффективнее:

Блок кода
esr(config-ips-category)# rule-advanced 2
esr(config-ips-category-rule-advanced)# description "Slow Loris rule 2"
esr(config-ips-category-rule-advanced)# rule-text "'alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:'"SlowLoris.py DoS attempt'"; flow:established,to_server,no_stream; content:'"X-a:'"; dsize:<15; detection_filter:track by_dst, count 3, seconds 30; classtype:denial-of-service; sid: 10000002; rev:1; )"'

Якорь
#EDM
#EDM
Настройка взаимодействия с Eltex Distribution Manager

...