snort 可以拦截数据包么?

taosiming

我是今天才开始接触IDS的,装上snort后现在想通过snort拦截数据包.
我的snort.conf内容如下:
alert tcp any any -> any 80 (msg:"Dectect viruse!";)
然后运行
snort -d -h 192.168.0.0/24  -c ./snort.conf

结果在/var/log/snort/alert文件中辑录了n多记录.
可是我还是可以上网阿.
也就是说我的snort能够检测到 80端口的数据包,而且也记录了下来,可是如果想拦截下来呢?怎么实现?

我是新手,大家帮帮忙!谢谢先


psw: 我机器可以转发.一个网卡.

包子

他可以采取一些措施的

编译的时候可以加一个resp的参数……好久没搞了
还可以和iptables联动的，不过我没做过
你google snort iptables

呵呵，新手应该看精华区嘛：）

ha2000

snort-inline，是一个让snort和iptables联动,ids的难点是怎么样正确识别攻击，这和你的规则库的精确度有很大的关系，同时规则库的升＝升级同样重要

包子

呵呵
inline模式是特殊用途的了：）