我是 Snort 新手,正在使用它来调查给定恶意软件的可检测性。我正在编写我的第一个自定义规则并测试它们。在此过程中,我还收到了以下两个警报:
[129:20:1] TCP session without 3-way handshake [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP}
[129:12:2] Consecutive TCP small segments exceeding threshold [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP}
我无法找到定义这些警报的文件,也无法在互联网上找到有用的信息。我偶然发现了 snort-sigs 档案,这些档案令人困惑且毫无帮助。有人可以告诉我是什么触发了这两个警报或者我可以在哪里找到有用的信息?
在 snort.conf 中转到第 273 行(默认conf)检查:预处理器stream5_global:track_tcp yes 只需将其从“是”更改为“否”,即可删除日志上连续 TCP 小段超出阈值的警报。 抱歉英语不好