流 ICMP 检查器

流 ICMP 检查器概述

类型

检查器(流)

使用方式

检测

实例类型

多实例

所需其他检查器

已启用

true

互联网控制消息协议 (ICMP) 是网络实用程序应用程序和网络设备使用的网络层协议。ICMP 可发送诊断和错误信息,以确定 IP 主机之间的通信成功还是失败。ICMP 消息包括报头和数据部分。

ICMP 可传输有关其他数据流的信息。它不传输需要重组的数据,也不需要基于目标的绑定。

stream_icmp 检查器定义 ICMP 流跟踪。对于 ping,检查器通过 ICMP 信头中的源和目标 IP 地址字段以及端口字段提供基本流跟踪。对于无法访问的目标,检查器会分析原始 IP 地址和传输端口,然后更新会话的状态。port_scan 检查器可以使用无法访问的主机和端口(如果可用)。

配置流 ICMP 检查器的最佳实践

配置 stream_icmp 检查器时,请考虑以下最佳实践:

  • 为要应用于主机或网络的每个会话超时创建 stream_icmp 检查器。 stream_icmp 检查器将 session_timeout绑定程序 检查器中定义的 ICMP 主机或网络相关联。

    您可以在同一网络分析策略 (NAP) 中拥有多个版本的 stream_icmp 检查器。

流 ICMP 检查器参数

session_timeout

指定 stream_icmp 检查器在状态表中保持非活动 ICMP 流的秒数。下次 Snort 检测到具有相同流密钥的 ICMP 数据报时,它会检查较早流上的会话超时是否已到期。如果超时已到期,Snort 将关闭流并启动新的流。Snort 检查与基本流配置关联的过时流。

类型: 整数

有效范围: 02,147,483,647(最大 31)

默认值: 60

流 ICMP 检查器规则

stream_icmp 检查器没有任何关联的规则。

流 ICMP 检查器入侵规则选项

stream_icmp 检查器没有任何入侵规则选项。