流 UDP 检查器

流 UDP 检查器概述

类型

检查器(流)

使用方式

检测

实例类型

多实例

所需其他检查器

已启用

true

用户数据报协议 (UDP) 是一种无连接、低延迟的传输层协议。在接收方提供协议之前,UDP 可实现两个网络终端之间的无状态通信。为评估消息报头和数据的完整性,UDP 使用校验和。

stream_udp 检查器检查 IP 数据报报头中的源和目标 IP 地址字段及 UDP 报头中的端口字段来确定流动方向并识别会话。当超过可配置的计时器,或者当任何一个端点接收到另一个端点不可达的 ICMP 消息时,会话结束。

UDP 数据流检查器不会生成事件。您可以启用数据包解码器规则 (GID 116) 来检测 UDP 信头异常。

配置流 UDP 检查器的最佳实践

配置 stream_udp 检查器时,请考虑以下最佳实践:

  • 为要应用于主机或终端的每个会话超时创建 stream_udp 检查器。数据流 UDP 检查器将 session_timeout绑定程序 检查器中定义的 UDP 主机相关联。

    在同一网络分析策略中,您可以有多个版本的 stream_udp 检查器。

  • 启用数据包解码器规则 (GID 116) 以检测 UDP 报头异常。

流 UDP 检查器参数

session_timeout

指定 UDP 检查器在状态表中保持非活动 UDP 流的秒数。下次 Snort 检测到具有相同流密钥的 UDP 数据报时,它会检查较早流上的会话超时是否已到期。如果超时已到期,Snort 将关闭流并启动新的流。Snort 检查与基本流配置关联的过时流。

类型: 整数

有效范围: 02,147,483,647(最大 31)

默认值: 30

流 UDP 检查器规则

stream_udp 检查器没有任何关联规则。

流 UDP 检查器入侵规则选项

stream_udp 检查器没有任何入侵规则选项。