Предпроцессоры
Предпроцессоры устанавливаются в файле snort.conf, с помощью команды preprocessor. Они обрабатывают пакеты после того, как те были получены и декодированы инструментом Snort, но прежде, чем начнется применение правил соответствия. Таблица 14.3 описывает наиболее популярные предпроцессоры (те, которые имеются в версии Snort 1.8).
http_decode | <port_list> | Берет любые Web-URL, которые перехвачены из трафика передачи портов в <port_list>, и расшифровывает их в ASCII-текст. Так как URL не могут содержать некоторые специальные символы (например, пробелы), вы будете часто видеть символы подобные %21 в URL. Этот процессор преобразовывает эти символы к ASCII-коду так, чтобы правила были способны должным образом обнаружить предупреждения, основанные на совпадении URL. |
port scan | <network><num_ports><period><logfile> | Одно из наиболее полезных дополнений к программе. Сканнер порта прослушивает <network> и регистрирует предупреждение в файл <logfile> всякий раз, как порт с номером <num_ports> или (и) другие порты в вашей сети задействуются в пределах интервала <period>, заданного в секундах. |
port scan- ignorehosts | <host_list> | Вспомните наш пример с DNS-сервером. Мы не хотим получать сообщения о сканировании порта некоторых машин в нашей сети, потому что это фактически законный трафик. Здесь вы можете определить список IP-адресов (разделенный пробелами, а не запятыми) которые вы хотите игнорировать. |
frag2 | memcap <bytes> timeout <seconds> | Выполняет дефрагментацию всех перехваченных фрагментированных пакетов. Использует заданный по умолчанию объем памяти в 4 мегабайта и 60-секундный перерыв для выполнения дефрагментации. |
stream4 | noinspect keepstats detect_scans detect_state_problems | Позволяет Snort обрабатывать TCP-потоки (или сеансы) и делать инспекцию пакетов, давая заключение об их состоянии. Имеющиеся опции позволяют отключать инспекцию, регистрировать информацию о сеансе в файле, предупреждать о сканировании порта, и предупреждать о проблемах состояния (например, перепутанные порядковые номера пакетов), соответственно. |