返回
snort每一项的具体含义

snort每一项的具体含义

ID:14237995

大小:40.00 KB

页数:6页

时间:2018-07-27

snort每一项的具体含义_第1页
snort每一项的具体含义_第2页
snort每一项的具体含义_第3页
snort每一项的具体含义_第4页
snort每一项的具体含义_第5页
资源描述:

《snort每一项的具体含义》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Snort规则选项详解Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。1.规则头:规则动作:在snort中有五种动作:alert、log、pass、activate和dynamic.1、Alert-使用选择的报警方法生成一个警报,然后记录(log)这个包。2、Log-记录这个包。3、Pass-丢弃(忽略)这个包。4、activate-报警并且激活另一条dynamic规则。5、dynamic-保持空闲直到被一条a

2、ctivate规则激活,被激活后就作为一条log规则执行。协议类型:Snort当前分析可疑包的ip协议有四种:tcp、udp、icmp和ip。将来可能会更多,例如ARP、IGRP、GRE、OSPF、RIP、IPX等。地址:关键字"any"可以被用来定义任何地址。地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络,/16表示b类网络,/32表示一个特定的机器的地址。否定操作符用"!"表示。你也可以指定ip地址列表,一个ip地址列表由逗号分割的ip地址和CIDR

3、块组成,并且要放在方括号内“[”,“]”。此时,ip列表可以不包含空格在ip地址之间。例如:alerttcp![192.168.1.0/24,10.1.1.0/24]any->[192.168.1.0/24,10.1.1.0/24]111(content:"

4、000186a5

5、";msg:"externalmountdaccess";)变量定义:varMY_NET192.168.1.0/24alerttcpanyany->$MY_NETany(flags:S;msg:"SYNpacket";)注:"$"操作符之后定义变量;"?"和"-"可用于

6、变量修改操作符;$var-定义变量。$(var)-用变量"var"的值替换。$(var:-default)-用变量"var"的值替换,如果"var"没有定义用"default"替换。$(var:?message)-用变量"var"的值替换或打印出错误消息"message"然后退出。例如:varMY_NET$(MY_NET:-192.168.1.0/24)logtcpanyany->$(MY_NET:?MY_NETisundefined!)23端口号:端口号可以用几种方法表示,包括"any"端口、静态端口定义、范围、以及通过否定操作符。静态端口

7、定义表示一个单个端口号,例如111表示portmapper,23表示telnet,80表示http等等。端口范围用范围操作符":"表示。范围操作符可以有数种使用方法,如下所示:logudpanyany->192.168.1.0/241:1024记录来自任何端口的,目标端口范围在1到1024的udp流logtcpanyany->192.168.1.0/24:6000记录来自任何端口,目标端口小于等于6000的tcp流logtcpany:1024->192.168.1.0/24500:记录来自任何小于等于1024的特权端口,目标端口大于等于500

8、的tcp流方向操作符:方向操作符"->"表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被认为是流来自的源主机,方向操作符右边的ip地址和端口信息是目标主机,还有一个双向操作符"<>"。2.规则选项:规则选项组成了snort入侵检测引擎的核心,既易用又强大还灵活。所有的snort规则选项用分号";"隔开。规则选项关键字和它们的参数用冒号":"分开。例如:msg-在报警和包日志中打印一个消息。flags-检查tcpflags的值。content-在包的净荷中搜索指定的样式。Content关键字的选项数据比较复杂;它可以包含混合的文本和

9、二进制数据。二进制数据一般包含在管道符号中("

10、"),表示为字节码(bytecode)。字节码把二进制数据表示为16进制数字,是描述复杂二进制数据的好方法。例如:content:"

11、90C8C0FFFFFF

12、/bin/sh";字符:;"在content选项内容中出现时必须被转义(有两个方法:1.使用前导“”字符2.使用字节的二进制表示方式,比如用“

13、3A

14、”表示“:”):内容匹配项的默认是区分大小写的;offset-content选项的修饰符,设定开始搜索的位置。depth-content选项的修饰符,设定搜索的最大深度。nocase-指

15、定对content字符串大小写不敏感。distance-content选项的修饰符,设定模式匹配间的最小间距;distance关键字是content关键字的一个修饰

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。