snort01 理解snort配置文件.ppt

《snort01 理解snort配置文件.ppt》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、理解snort配置文件我们可以通过配置文件来定义和应用适于大型或分布式环境需要的特性，这正是Snort强大的原因之一。Snort配置文件允许用户定义变量，附加配置文件以及链接附加配置文件等。Snort通过配置文件来完成启动配置，配置文件包括7个基本的部分:变量定义：变量用于Snort规则和其他的目的，比如有关网络、端口、规则文件路径等的变量。配置参数：指定Snort配置的选项，例如解码参数、检测引擎参数，其中有些参数也可以用在命令行中。配置动态加载库（dll）。预处理器配置：用来在探测引擎执行特定的动作前对包进行处理。输出模块配置：控制如何记录数据。定义新的动作类型：如

2、果预定义的动作类型不能够满足我们的要求我们可以在配置文件中自定义动作。规则配置和引用文件：尽管可以在Snort.conf中定义规则，将规则放在不同的文件中还是更加方便管理。我们可以用关键字include来指定所引用的规则文件。定义和使用变量在配置文件Snort.conf文件中，已经定义了很多变量，我们可以根据自己的需要修改。其中，HOME_NET、EXTERNAL_NET、HTTP_PORT等变量非常关键。Snort用户可以定义在配置文件和规则集中使用的变量。定义变量的语法定义普通变量：var<变量名><变量值>定义端口变量：portvar<变量名><变量值>定义变量例

3、varHOME_NET192.168.1.0/24alertipanyany->$HOME_NETany(ipopts:lsrr;msg:“Loosesourceroutingattempt”;sid:1000001;)定义变量变量中使用变量值列表varHOME_NET[192.168.1.0/24，192.168.10.0/24]//不同的条目用逗号分隔定义变量的时候，可以用网络接口名称varHOME_NET$eth0_ADDRESSvarEXTERNAL_NET$eth1_ADDRESS动态变量在定义变量的时候，我们可以使用“动态变量”，也就是在配置文件或附加包含文

4、件中用已定义了的变量再去定义其他变量例如，假如我们定义了一个变量DMZ_WEB，那么接下来这个变量定义是有意义的：varEXTERNAL_WEB$DMZ_WEB关键字any也可以成为一个变量。它匹配任何值，例如：varEXTERNAL_NETany动态变量如果被引用的变量没有定义或定义非法，动态变量可以被赋予一个“默认静态地址”，我们也可以定义一段错误提示信息，当被引用变量未定义时将显示该信息。定义格式如下：var<变量名>$<被引用变量:默认静态地址>var<变量名>$<被引用变量:?错误提示信息>“变量值”部分被冒号分开，冒号前面是被引用变量，当被引用变量未定义时，

5、引擎将根据冒号后面的部分执行动作。varDNS_SERVER$(ORG_DNS_SERVER:10.1.1.2)varENTIRE_INTERNAL_COMPANY$(INTERNAL_NETS:?错误！未定义INTERNAL_NETS)配置文件中的其他关键要素在配置文件中还有其他一些非常重要的初始化要素，包括：预处理器配置，格式如下：preprocessor<预处理器名>[:<配置选项>]输出模块配置，格式如下：output<输出模块名>[:<配置选项>]规则和包含文件配置，格式如下：include规则文件路径/规则文件名