snort error: (http_inspect) IIS UNICODE CODEPOINT ENCODING

近日發現 snort 出現了一句 warning message: (http_inspect) IIS UNICODE CODEPOINT ENCODING. 找了很久才找到了簡單既解決方法. 這句錯誤其實是因為 snort 在設定網站語系 (language encoding) 時出錯.

要解決這個問題最好不要直接將該 module 停止, 因為這樣有機會出現安全漏洞, 所以只建議直接收改設定去改善這個問題.

  1. 到 snort 設定檔 /etc/snort/snort.conf
  2. 找尋 iis_unicode_map
  3. 原句為: preprocessor http_inspect: global iis_unicode_map unicode.map 1252, 將最後的數字更改為適當語系便可. 以 UTF-8 為例, 全句應為preprocessor http_inspect: global iis_unicode_map unicode.map 65001

* unicode map 可在同一個設定目錄裡尋找, 檔名為 unicode.map

參考網址: http://it.toolbox.com/blogs/locutus/snort-out-your-unicode-encoding-log-entries-21981

有需要可直接參考 snort manual: http://www.snort.org/assets/82/snort_manual.pdf

Please leave your comment on the topic