https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Vorlage%3ASuricata-rules-beschreibung Vorlage:Suricata-rules-beschreibung - Versionsgeschichte 2026-05-14T17:14:32Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Vorlage:Suricata-rules-beschreibung&diff=69261&oldid=prev Thomas.will: Die Seite wurde neu angelegt: „{| class="wikitable" |- ! Schlüsselwort ! Beschreibung |- | alert / drop | Aktion bei Regelübereinstimmung. '''alert''' erzeugt einen Logeintrag, '''drop'''…“ 2026-04-30T10:41:03Z <p>Die Seite wurde neu angelegt: „{| class=&quot;wikitable&quot; |- ! Schlüsselwort ! Beschreibung |- | alert / drop | Aktion bei Regelübereinstimmung. &#039;&#039;&#039;alert&#039;&#039;&#039; erzeugt einen Logeintrag, &#039;&#039;&#039;drop&#039;&#039;&#039;…“</p> <p><b>Neue Seite</b></p><div>{| class=&quot;wikitable&quot;<br /> |-<br /> ! Schlüsselwort<br /> ! Beschreibung<br /> |-<br /> | alert / drop<br /> | Aktion bei Regelübereinstimmung. '''alert''' erzeugt einen Logeintrag, '''drop''' verwirft das Paket zusätzlich.<br /> |-<br /> | icmp / tcp / udp / http / dns<br /> | Protokoll das überwacht wird.<br /> |-<br /> | any<br /> | Platzhalter für beliebige IP-Adresse oder Port.<br /> |-<br /> | -&gt;<br /> | Richtung des Datenverkehrs (Quelle → Ziel).<br /> |-<br /> | msg:&quot;...&quot;<br /> | Beschreibung die im Alert-Log erscheint.<br /> |-<br /> | classtype:...<br /> | Kategorie des Angriffs (z.B. web-application-attack, attempted-recon, policy-violation).<br /> |-<br /> | sid:...<br /> | Eindeutige Signatur-ID der Regel. Eigene Regeln beginnen ab 9000000.<br /> |-<br /> | flow:...<br /> | Verbindungsstatus (z.B. established, to_server, stateless).<br /> |-<br /> | content:&quot;...&quot;<br /> | Zeichenkette nach der im Paketinhalt gesucht wird.<br /> |-<br /> | nocase<br /> | Groß-/Kleinschreibung wird beim content-Vergleich ignoriert.<br /> |-<br /> | http_client_body<br /> | Sucht den content nur im HTTP-Request-Body.<br /> |-<br /> | http.user_agent<br /> | Sucht den content im HTTP User-Agent Header.<br /> |-<br /> | dns.query<br /> | Sucht den content im DNS-Query-Namen.<br /> |-<br /> | flags:...<br /> | TCP-Flags (z.B. S=SYN, F=FIN, FPU=XMAS).<br /> |-<br /> | itype:...<br /> | ICMP-Typ (z.B. 8 = Echo Request).<br /> |-<br /> | dsize:...<br /> | Größe der Nutzdaten in Bytes.<br /> |-<br /> | detection_filter:...<br /> | Schwellenwert für Häufigkeit bevor die Regel auslöst.<br /> |-<br /> | threshold:...<br /> | Begrenzung wie oft ein Alert pro Zeitraum ausgelöst wird.<br /> |-<br /> | rev:...<br /> | Revisionsnummer der Regel.<br /> |}</div> Thomas.will