返回
snort策略配置分析

snort策略配置分析

ID:6325637

大小:71.50 KB

页数:15页

时间:2018-01-10

snort策略配置分析_第1页
snort策略配置分析_第2页
snort策略配置分析_第3页
snort策略配置分析_第4页
snort策略配置分析_第5页
资源描述:

《snort策略配置分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、snort策略配置分析snort使用一种简单的轻量级的规则描述语言来描述它的规则配置信息,它灵活而强大。在版本1.8之前snort规则必须写在一个单行上,在现在的版本里可以用‘’来进行折行。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例:alerttcpanyany->192.168.1.0/24111(content:"

2、000186a5

3、";msg:"mountd

4、access";)例1括号前的部分是规则头,括号内的部分是规则选项。规则选项部分中冒号前的单词称为选项关键字。注意:不是所有规则都必须包含规则选项部分,选项部分只是为了使对要收集或报警,或丢弃的包的定义更加严格。组成一个规则的所有元素对于指定的要采取的行动都必须是真的。当多个元素放在一起时,可以认为它们组成了一个逻辑与(AND)语句。同时,snort规则库文件中的不同规则可以认为组成了一个大的逻辑或(OR)语句。我们先分别讨论规则头和选项部分。规则头部分:规则动作:规则的头包含了定义一个包的who,where和what信

5、息,以及当满足规则定义的所有属性的包出现时要采取的行动。规则的第一项是"规则动作""规则动作"告诉snort在发现满足规则标准的包时要干什么。在snort中有五种动作:alert,log和pass,activate和dynamic。1.Alert-使用选择的报警方法生成一个警报,然后记录(log)这个包2.Log-记录这个包3.Pass-丢弃(忽略)这个包4.报警然后打开另外一个dynamic规则5.等待一个activate来激活,在被激活后,向log规则一样记录数据包协议:规则的下一部分是协议。Snort当前分析可疑包

6、的ip协议有三种:tcp,udp和icmp。将来可能会更多,例如arp,igrp,gre,ospf,rip,ipx等。IP地址:规则头的下一个部分处理一个给定规则的ip地址和端口号信息。关键字"any"可以被用来定义任何地址。Snort没有提供根据ip地址查询域名的机制。地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络,/16表示b类网络,/32表示一个特定的机器的地址。例如,192.168.1.0/24代表从192.168.1.1到

7、192.168.1.255的地址块。在这个地址范围的任何地址都匹配使用这个192.168.1.0/24标志的规则。这种记法给我们提供了一个很好的方法来表示一个很大的地址空间。在“例一”中,源ip地址被设置为任何连接的计算机,而目标地址被设置为192.168.1.0上的c类网络。有一个操作符可以应用在ip地址上,它是否定运算符(negationoperator)。这个操作符告诉snort匹配除了列出的ip地址以外的所有ip地址。否定操作符用"!"表示。例如,使用否定操作符对“例一”做一个简单修改,使它对任何来自本地网络以外

8、的流都进行报警,如:alerttcp!192.168.1.0/24any->192.168.1.0/24111(content:"

9、000186a5

10、";msg:"externalmountdaccess";)例2这个规则的ip地址代表“任何源ip地址不是来自内部网络而目标地址是内部网络的tcp包”端口号:端口号可以用几种方法表示,包括"any"端口,静态端口定义,范围,以及通过否定操作符定义。"any"端口是一个通配符,表示任何端口。静态端口定义表示一个单个端口号,例如:111表示portmapper,23表示teln

11、et,80表示http等等。端口范围用范围操作符“:”表示。范围操作符可以有几种使用方法,如:logudpanyany->192.168.1.0/241:1024记录来自任何端口的,目标端口范围在1到1024的udp数据流logtcpanyany->192.168.1.0/24:6000记录来自任何端口,目标端口小于等于6000的tcp流logtcpany:1024->192.168.1.0/24500:记录来自任何小于等于1024的特权端口,目标端口大于等于500的tcp流例3:端口范围端口否定操作符用“!”表示。它可

12、以用于任何规则类型(除了any)。例如,由于某个古怪的原因你需要记录除xwindows端口以外的所有一切,你可以使用如下的规则:logtcpanyany->192.168.1.0/24!6000:6010例4:端口否定操作符范例方向操作符:方向操作符“->”表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。