Bug Snort !

[SecureMan]

Bonjour,

Je viens de creer une regle snort assez generique pour repondre correctement a une attaque precise.
cette regle fonctionne sauf lorsque j'ajoute l'element react.

ma regle :
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"TEST"; content:"SEARCH"; classtype:attempted-admin;depth:8; nocase; react:block, msg; sid:62354; rev:8;)


dans /var/log/messages :
FATAL ERROR : ....=> Unknown keyword ' react'
et evidemment snort ne se lance pas.


pourtant react fait bien partie des choses que l'on peit utiliser sur snort en principe, non ? meme probleme avec le mot-clef "resp".

une idee ?


Merci.

[SecureMan]

j'ai oublie de preciser :
je suis sous 1.4.b3

[Franck78]

1) C'est peut-etre pas compiler dans snort.
Faut voir le "configure" qui sert à construire snort.

2) Est-ce que "reac" est permis à cet endroit (grammaire) ?


J'ai regardé : rien de spécial dans le "configure" ...

[SecureMan]

lorsque tu dis "rien de special dans le configure" c que l'option (si elle existe) est precisee ?
La compilation de snort sur 1.4.b3 devrait comprendre le react? disons qu'avant de me lancer dans la recompil de snort , je prefererais savoir exactement ce qu'il en est, car je ne suis pas franchement experimente pour ca.

merci.

ps : a priori ma syntaxe est bonne (d'apres certains sites web expliquant comment creer des regles snort).

[Franck78]

Elle n'existe pas dans snort 2.10. Donc c'est inclus dans snort !

[SecureMan]

ce qui veut dire que c ma regle qui est fausse alors....?

[SecureMan]

apparemment ce n'est pas que ma regle soit fausse, mais il faut que snort soit compiler avec FlexRESP...

qqn pourrait m'aider a faire ca svp ??

merci.

[guiguid]

Je confirme, ca fait parti de Flexresp.

(voir http://www.ixus.net/resume_messages.php?topic=8615 )

option --enable-flexresp a la compilation de snort.

Voila,
A +

Guillaume

[guiguid]

Ce qui m'embette avec ce genre de chose est que l'on modifie les règles snort !
donc plus d'auto update, plus sur de la fiabilité des regles.

surtout que tu fermes juste la connexion : comportements bizarres :

exemple :
Tu mets un react pour fermer la connexin sur une regle de type virus :

un client se connecte pour recupérer ses email, si un est infecté, il va essayer de recupérer
cet email jusqu'a la fin des temps ! en effet ,le serveur recevra un RST, le client aussi, de suite le client te gueleras dessus ( coonection reset by peer) puis 10 minutes plus tard il re-checkeras les mails puis ainsi de suite ....

Berf, je prefere guardian qui bloque directement l'IP en question :
Pas de modification des regles snorts, moins de comportements hasardeux ..

Guillaume
(par contre il faut comprendre pourquoi il ne bloque pas ton attaque SecureMan,
mais ca c'est dans un autre sujet du forum !)