Output: Frag3 có khả năng phát hiện tám loại khác nhau của dị thường. Phần output dựa trên các gói tin và làm việc với tất cả các chế độ output khác của Snort. Các cảnh báo output này có thể tìm thấy trong
/preproc_rules/preprocessor.rules của tập tin mã nguồn Snort với gid=123.
Ví dụ:
preprocessor frag3_global: prealloc_nodes 8192 preprocessor frag3_engine: policy linux, bind_to 192.168.1.0/24
preprocessor frag3_engine: policy first, bind_to [10.1.47.0/24,172.16.8.0/24]
35
3.1.2. Stream5
Tiền xử lý Stream5 cũng là một mô-đun tái hợp TCP dựa trên mục tiêu. Nó có khả năng theo dõi các phiên của cả giao thức TCP và UDP. Với tiền xử lý này, các luật “flow” và “flowbits” có thể được sử dụng cho cả lưu lượng TCP và UDP.
Stream5 cũng tương tự như Frag3, tức là IDS sẽ xử lý các luồng dữ liệu dựa vào mục tiêu. Stream5 sẽ xử lý việc chồng chéo dữ liệu và các dấu hiệu bất thường của kết nối TCP.
Một số ví dụ về việc nhận dạng sự bất thường trên giao thức TCP như: dữ liệu tồn tại trong gói SYN, dữ liệu nhận được vượt quá kích thước của cửa sổ TCP.
a. Cấu hình toàn cục
preprocessor stream5_global: <tùy chọn>
Tùy chọn Mô tả
track_tcp <yes|no> Theo dõi phiên TCP. Mặc định là “yes”
max_tcp <num sessions>
Số phiên TCP tối đa được đồng thời theo dõi. Mặc định là “262144”, tối đa là “1048576”, tối thiểu là “1”.
memcap <num bytes>
Bộ nhớ cho lưu trữ gói tin TCP. Mặc định là "8388608" (8MB), tối đa là "1073741824" (1GB), tối thiểu là "32768" (32KB).
track_udp <yes|no> Theo dõi phiên UDP. Mặc định là “yes”. max_udp <num
sessions>
Số phiên UDP tối đa được đồng thời theo dõi. Mặc định là "131072", tối đa là "1048576", tối thiểu là "1".
track_icmp <yes|no> Theo dõi phiên ICMP. Mặc định là “no”.
max_icmp <num sessions>
Số phiên ICMP tối đa được đồng thời theo dõi. Mặc định là "65536", tối đa là "1048576", tối thiểu là "1".
36
max_ip <num sessions> Số phiên IP tôi đa được đồng thời theo dõi. Mặc định là "16384", tối đa là "1048576", tối thiểu là "1".
disabled Tùy chọn vô hiệu hóa stream5, mặc định tùy chọn
này được tắt.
flush_on_alert Tương thích ngược. Đẩy ra một TCP stream khi một
cảnh báo được tạo ra. Mặc định được tắt.
show_rebuilt_packets In/hiển thị các gói tin sau khi được xây dựng lại (debug). Mặc định được tắt.
prune_log_max <num bytes>
In ra một thông báo khi một phiên chấm dứt hoặc tiêu tốn nhiều hơn số bytes được quy định. Mặc định là "1048576" (1MB), tối thiểu là "0" (disabled) hoặc nếu không bị vô hiệu hóa thì tối thiểu là "1024" và tối đa là “1073741824".