Hi,
ich habe mir eine Liste für Snort generieren lassen, die bestimme IP-Bereicht mitloggt. Hier ein Regel davon:

alert tcp 216.35.74.224:255.255.255.224 any <> $HOME_NET any (msg:"Overpeer"; classtype:trojan-activity; priority:1;)

Zu "trojan-activity" habe ich in den Snort Regeln nichts gefunden. Wird dieser traffic jetzt einfach nur mitgeloggt oder auch verworfen? Kennt jemand eine gute Seie, auf der der Aufbau der Regeln erklärt wird? Danke.

alert tcp 216.35.74.224:255.255.255.224 any <> $HOME_NET any (msg:"Overpeer"; classtype:trojan-activity; priority:1

Du kannst mit einer normalen Snort Regel keinen Traffic verwerfen ! Wie die Regel schon zu Anfang sagt, generiert sie nur eine Alarm-Meldung ("Overpeer"), wenn die Regel zutrifft.
Normalerweise ist Snort ja in erster Linie auch nur dazu da, das es dich über bestimmte Angriffe informiert... deshalb solltest du z.B. ACID oder ein ähnliches Programm einsetzen, damit du es einfacher hast, deine Alerts zu analysieren... mit ACID fahre ich da bis jetzt ziemlich gut....

Snort bietet allerdings die Möglichkeit ein Reset Packet an den Computer zu senden, welcher "Kontakt" mit Dir aufnehmen will.... außerdem kann Snort auch automatisch die betroffene IP Adresse in die hosts.deny eintragen und somit wird sämtlicher Verkehr von der besagten Adresse geblockt.... was ich allerdings nicht machen würde, da ansonsten die Gefahr eines DoS Angriffs besteht (wenn jemand seine IP-Adressen spooft und z.B. die IP Adresse deines Providers, deines DNS Servers o.ä. verwendet...irgendwann verbietest du dann alle Rechner und kannst zu keinem mehr eine Verbindung aufbauen)
.... also lass Snort lieber ein Reset Packet senden....
Allerdings weiß ich jetzt nicht direkt wie so eine Regel aufgebaut ist... musst du einfach mal bei google suchen....

Hab gerade mal kurz nachgesehen..... du müsstest zuerst ein "Flexible Response" Plugin für Snort installieren... dann bieten sich mehrere Möglichkeiten wie du die verbindung beenden kannst, wenn eine Regel zutrifft.... guck hier:

http://mucsnug.weigl.de/flexible-response.html

Danke. Acid habe ich schon im Einsatz. Ich gucke mir das mal an und geb dann mal Bescheid.

Hmm, da muss ich mein Snort ja noch extra patchen. Hat das schon mal jemand gemacht? Ansonsten sieht das nämlich ganz gut aus.