...
Шаг | Описание | Команда | Ключи | ||
---|---|---|---|---|---|
1 | Задать имя и перейти в режим конфигурирования набора пользовательских правил. | esr(config)# security ips-category user-defined <WORD> | <WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов. | ||
2 | Задать описание набора пользовательских правил (не обязательно). | esr(config-ips-category)# description <DESCRIPTION> | <DESCRIPTION> –описание задаётся строкой до 255 символов. | ||
3 | Создать расширенное правило и перейти в режим его конфигурирования. | esr(config-ips-category)# rule-advanced <SID> | <SID> – номер правила, принимает значения [1.. 4294967295]. | ||
4 | Задать описание правила (не обязательно). | esr(config-ips-category-rule-advanced)# description <DESCRIPTION> | <DESCRIPTION> –описание задаётся строкой до 255 символов. | ||
5 | Указать действие данного правила. | esr(config-ips-category-rule-advanced)# rule-text <LINE> | <CONTENT> -текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
| ||
6 | Активировать правило. | esr(config-ips-category-rule-advanced)# enable |
...
Блок кода |
---|
esr(config-ips-category)# rule-advanced 1 esr(config-ips-category-rule-advanced)# description "Slow Loris rule 1" esr(config-ips-category-rule-advanced)# rule-text "'alert tcp any any -> any 80 (msg:'"Possible Slowloris Attack Detected'"; flow:to_server,established; content:'"X-a|3a|'"; distance:0; pcre:'"/\d\d\d\d/'"; distance:0; content:'"|0d 0a|'"; sid:10000001;)"' |
Создадим ещё одно расширенное правило, работающее по схожему алгоритму, чтобы определить, какое из правил будет эффективнее:
Блок кода |
---|
esr(config-ips-category)# rule-advanced 2 esr(config-ips-category-rule-advanced)# description "Slow Loris rule 2" esr(config-ips-category-rule-advanced)# rule-text "'alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:'"SlowLoris.py DoS attempt'"; flow:established,to_server,no_stream; content:'"X-a:'"; dsize:<15; detection_filter:track by_dst, count 3, seconds 30; classtype:denial-of-service; sid: 10000002; rev:1; )"' |
Якорь | ||||
---|---|---|---|---|
|
...