欢迎来到天天文库
浏览记录
ID:6325637
大小:71.50 KB
页数:15页
时间:2018-01-10
《snort策略配置分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、snort策略配置分析snort使用一种简单的轻量级的规则描述语言来描述它的规则配置信息,它灵活而强大。在版本1.8之前snort规则必须写在一个单行上,在现在的版本里可以用‘’来进行折行。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例:alerttcpanyany->192.168.1.0/24111(content:"
2、000186a5
3、";msg:"mountd
4、access";)例1括号前的部分是规则头,括号内的部分是规则选项。规则选项部分中冒号前的单词称为选项关键字。注意:不是所有规则都必须包含规则选项部分,选项部分只是为了使对要收集或报警,或丢弃的包的定义更加严格。组成一个规则的所有元素对于指定的要采取的行动都必须是真的。当多个元素放在一起时,可以认为它们组成了一个逻辑与(AND)语句。同时,snort规则库文件中的不同规则可以认为组成了一个大的逻辑或(OR)语句。我们先分别讨论规则头和选项部分。规则头部分:规则动作:规则的头包含了定义一个包的who,where和what信
5、息,以及当满足规则定义的所有属性的包出现时要采取的行动。规则的第一项是"规则动作""规则动作"告诉snort在发现满足规则标准的包时要干什么。在snort中有五种动作:alert,log和pass,activate和dynamic。1.Alert-使用选择的报警方法生成一个警报,然后记录(log)这个包2.Log-记录这个包3.Pass-丢弃(忽略)这个包4.报警然后打开另外一个dynamic规则5.等待一个activate来激活,在被激活后,向log规则一样记录数据包协议:规则的下一部分是协议。Snort当前分析可疑包
6、的ip协议有三种:tcp,udp和icmp。将来可能会更多,例如arp,igrp,gre,ospf,rip,ipx等。IP地址:规则头的下一个部分处理一个给定规则的ip地址和端口号信息。关键字"any"可以被用来定义任何地址。Snort没有提供根据ip地址查询域名的机制。地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络,/16表示b类网络,/32表示一个特定的机器的地址。例如,192.168.1.0/24代表从192.168.1.1到
7、192.168.1.255的地址块。在这个地址范围的任何地址都匹配使用这个192.168.1.0/24标志的规则。这种记法给我们提供了一个很好的方法来表示一个很大的地址空间。在“例一”中,源ip地址被设置为任何连接的计算机,而目标地址被设置为192.168.1.0上的c类网络。有一个操作符可以应用在ip地址上,它是否定运算符(negationoperator)。这个操作符告诉snort匹配除了列出的ip地址以外的所有ip地址。否定操作符用"!"表示。例如,使用否定操作符对“例一”做一个简单修改,使它对任何来自本地网络以外
8、的流都进行报警,如:alerttcp!192.168.1.0/24any->192.168.1.0/24111(content:"
9、000186a5
10、";msg:"externalmountdaccess";)例2这个规则的ip地址代表“任何源ip地址不是来自内部网络而目标地址是内部网络的tcp包”端口号:端口号可以用几种方法表示,包括"any"端口,静态端口定义,范围,以及通过否定操作符定义。"any"端口是一个通配符,表示任何端口。静态端口定义表示一个单个端口号,例如:111表示portmapper,23表示teln
11、et,80表示http等等。端口范围用范围操作符“:”表示。范围操作符可以有几种使用方法,如:logudpanyany->192.168.1.0/241:1024记录来自任何端口的,目标端口范围在1到1024的udp数据流logtcpanyany->192.168.1.0/24:6000记录来自任何端口,目标端口小于等于6000的tcp流logtcpany:1024->192.168.1.0/24500:记录来自任何小于等于1024的特权端口,目标端口大于等于500的tcp流例3:端口范围端口否定操作符用“!”表示。它可
12、以用于任何规则类型(除了any)。例如,由于某个古怪的原因你需要记录除xwindows端口以外的所有一切,你可以使用如下的规则:logtcpanyany->192.168.1.0/24!6000:6010例4:端口否定操作符范例方向操作符:方向操作符“->”表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被
此文档下载收益归作者所有