忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT HPC论坛 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 614 | 回复: 1

snort的frag3的policy到底是什么意思,如何对所有ip数据包分片重组,如何验证frag3 [复制链接]

论坛徽章:
0
发表于 2017-08-28 09:17 |显示全部楼层
policy <type> - Select a target-based defragmentation mode.  Available
                     types are first, last, bsd, bsd-right, linux, windows
                     and solaris.  Default type is bsd.

                     The Paxson Active Mapping paper introduced the terminology
                     frag3 is using to describe policy types.  It has been
                     extended to address differences between a true "first"
                     policy and how Windows and Solaris platforms handle
                     fragmented traffic.  The known mappings are as follows.

                     Anyone who develops more mappings and would like to add
                     to this list please feel free to send us an email!


                     Platform | Type
                     ---------------
                        AIX 2  | BSD
                AIX 4.3 8.9.3  | BSD
                    Cisco IOS  | Last
                      FreeBSD  | BSD
       HP JetDirect (printer)  | BSD-right
                HP-UX B.10.20  | BSD
                  HP-UX 11.00  | First
                  IRIX 4.0.5F  | BSD
                     IRIX 6.2  | BSD
                     IRIX 6.3  | BSD
                   IRIX64 6.4  | BSD
                 Linux 2.2.10  | linux
             Linux 2.2.14-5.0  | linux
               Linux 2.2.16-3  | linux
       Linux 2.2.19-6.2.10smp  | linux
               Linux 2.4.7-10  | linux
   Linux 2.4.9-31SGI 1.0.2smp  | linux
   Linux 2.4 (RedHat 7.1-7.3)  | linux
      MacOS (version unknown)  | First
             NCD Thin Clients  | BSD
    OpenBSD (version unknown)  | linux
    OpenBSD (version unknown)  | linux
                  OpenVMS 7.1  | BSD
       OS/2 (version unknown)  | BSD
                    OSF1 V3.0  | BSD
                    OSF1 V3.2  | BSD
            OSF1 V4.0,5.0,5.1  | BSD
                  SunOS 4.1.4  | BSD
      SunOS 5.5.1,5.6,5.7,5.8  | First
      Solaris 9, Solaris 10    | Solaris
        Tru64 Unix V5.0A,V5.1  | BSD
                      Vax/VMS  | BSD
   Windows (95/98/NT4/W2K/XP)  | Windows


比如
preprocessor frag3_engine: policy linux bind_to 192.168.1.0/24
preprocessor frag3_engine: policy first bind_to [10.1.47.0/24,172.16.8.0/24]
preprocessor frag3_engine: policy last detect_anomalies
解释是
Note in the advanced example, there are three engines specified running with
linux, first and last policies assigned.  The first two engines are bound to
specific IP address ranges and the last one applies to all other traffic,
packets that don't fall within the address requirements of the first two engines
automatically fall through to the third one.
但是完全不理解

policy它到底指定什么,难道是根据,这个网络数据包的目标地址的操作系统来进行的?


还有两个问题:
一:就是frag3要对所有的ip数据包都进行分片重组要怎么配置?

二:就是,我怎么去验证snort处理的数据包真的是帮我重组好了,我找不到验证方法



论坛徽章:
0
发表于 2017-08-28 09:18 |显示全部楼层
有没有大师,求指点一二
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP