一般安裝完snort 後就會覺得應該不會在被入侵了,
但是過一陣子就會發現自己有時候的一些行為也會產生Alert.
最出名的就是 BARE BYTE UNICODE ENCODING,
有時候一看log ,一堆都是因為這個alert被擋掉了。
解決方法:
1. 先在 /etc/snort/snort.conf
裡面加入 include threshold.conf
2. 接著在/etc/snort/threshold.conf 裡面加入:
suppress gen_id 119, sig_id 4 # http_inspect: BARE BYTE UNICODE ENCODING
suppress gen_id 119, sig_id 2 # http_inspect: DOUBLE DECODING ATTACK
這樣就會跳過這兩項alert的產生了。
沒有留言:
張貼留言