0

我有一个相当简单的内联 IPS 设置,它使用 Snort 作为检测系统。我想知道是否可以使用 Snort 重定向尝试查看不允许列表中的 URL 的用户。

我订阅了 Snort 实时更新/最新的数据库,它正在工作并给我警报,但到目前为止我在重定向主题上看到的唯一一件事就是去:

恶意攻击 -> Snort 识别攻击 -> 重定向到蜜罐,而不是:

LAN 上的用户 -> snort 识别出不允许的站点 -> 重定向到 xyz 页面

4

1 回答 1

0

您可以在规则中使用 Snort 的替换关键字,将不允许的 URL 替换为您选择的 URL。使用关键字时的唯一条件是新文本必须与以前的文本长度相同。

您也可以使用react关键字来响应您选择的 html 页面,但这也会阻止连接。

于 2014-08-23T02:17:49.520 回答