流 IP 检查器

流 IP 检查器概述

类型

检查器(流)

使用方式

检测

实例类型

多实例

所需其他检查器

已启用

true

互联网协议 (IP) 是构成互联网基础的无连接网络层协议。IP 使用主机地址将消息跨 IP 网络从源主机路由到目标主机。除其他传输协议外,IP 还可以路由 TCP 和 UDP 数据包。

IP 消息包含信头和数据部分。IP 信头包含用于将消息路由至其目的地的 IP 地址。IP 数据部分封装消息负载。IP 处理消息的重组和分段。

stream_ip 检查器可检测 IP 网络流并检查流中的数据包。 stream_ip 检查器定义 IP 会话和流跟踪、操作系统策略以及数据报重叠配置参数。根据模式, stream_ip 检查器或 Snort 数据平面会处理分片重组。

配置流 IP 检查器的最佳实践

配置 stream_ip 检查器时,请考虑以下最佳实践:

  • 为要应用于主机、终端或网络的每个 IP 配置创建一个 stream_ip 检查器。流 IP 检查器将 IP 配置与 绑定程序 检查器中定义的 IP 主机、终端或网络相关联。

    您可以在同一网络分析策略中设置多个版本的 stream_ip 检查器。

流 IP 检查器参数

max_overlaps

指定每个数据报允许的最大重叠数。指定 0 以允许无限数量的重叠。

您可以启用规则 123:12 以触发分段重叠过多的警报。

类型: 整数

有效范围: 04,294,967,295(最大 32)

默认值: 0

min_frag_length

指定 IP 分段中预期的最小字节数。指定 0 以允许 IP 分段中包含无限数量的字节。

您可以启用规则 123:13,以便为短于 min_frag_length的分段触发警报。

类型: 整数

有效范围: 065535

默认值: 0

min_ttl

指定最小生存时间 (TTL) 或跳数。丢弃低于指定最小 TTL 的分片。

您可以启用规则 123:11,以便为 TTL 低于此值的分片触发警报。

类型: 整数

有效范围: 1255

默认值: 1

策略

指定目标主机或主机的操作系统。操作系统可确定适当的 IP 分段重组策略和操作系统特征。只能为每个流 IP 检查器定义一个 策略 参数。


如果将 策略 参数设置为 第一个,Snort 可能会提供一些保护,但会错过攻击。您应编辑 IP 流检查器的 policy 参数指定正确的操作系统。

类型: enum

有效值:策略 参数设置一种操作系统类型。

表 1. 策略的有效值

策略

操作系统

第一

未知的操作系统

linux

Linux

bsd

AIX

FreeBSD

OpenBSD

bsd_right

HP JetDirect(打印机)

最后一个

思科 IOS

windows

Windows 98

Windows NT

Windows 2000

Windows XP

solaris

Solaris OS

SunOS

默认值: Linux

session_timeout

指定 stream_ip 检查器在状态表中保持非活动 IP 流的秒数。下次 Snort 检测到具有相同流密钥的 IP 数据报时,它会检查较早流上的会话超时是否已到期。如果超时已到期,Snort 将关闭流并启动新的流。Snort 检查与基本流配置关联的过时流。

类型: 整数

有效范围: 02,147,483,647(最大 31)

默认值: 60

流 IP 检查器规则

启用 stream_ip 检查器规则,以 生成事件并在内联部署中丢弃攻击性数据包

表 2. 流 IP 检查器规则

GID:SID

Rule Message

123:1

分片数据包上的 IP 选项不一致

123:2

teardrop 攻击

123:3

短分段,可能的 DOS 尝试

123:4

分片数据包在分片重组数据包之后结束

123:5

零字节分片数据包

123:6

分片大小错误,数据包大小为负数

123:7

分片大小错误,数据包大小大于 65536

123:8

分段重叠

123:11

TTL 值小于配置的最小值,未用于重组

123:12

分段重叠过多

123:13

微小分片

流 IP 检查器入侵规则选项

stream_ip 检查器没有任何入侵规则选项。