Snort 规则与 iptables 防火墙的协同应用及 fwsnort 安装指南
1. Snort 规则现状
目前,近 90% 的 Snort 规则利用flow选项对处于已建立状态的 TCP 连接进行应用程序检查。
2. iptables 防火墙特性
- 状态跟踪机制:iptables 是有状态防火墙,借助连接跟踪功能,不仅为 TCP 连接,也为 UDP 和 ICMP 等无连接协议(通过超时机制)提供连接跟踪机制。虽然它无法独立于网络层源和目的 IP 地址将数据包匹配标准限制在 TCP 连接的流量方向上,但允许规则匹配已建立的 TCP 连接。
- 匹配已建立的 TCP 连接:攻击者难以利用伪造的 TCP ACK 数据包欺骗 iptables 采取行动。要让 iptables 匹配已建立的 TCP 连接,可使用命令行参数
-p tcp -m state --state ESTABLISHED。状态匹配还可应用于 TCP 连接的其他阶段,如NEW(匹配 TCP SYN 数据包)和INVALID(匹配无法归类到现有连接的数据包)。示例如下:
[iptablesfw]# iptables -m state -h state v1.3.7 options: [!] --state [INVALID|ESTABLISHED|NEW|RELATED|UNTRACKED
