如何编写snort的检测规则
答案:1 悬赏:80 手机版
解决时间 2021-02-27 07:44
- 提问者网友:流星是天使的眼泪
- 2021-02-26 08:22
如何编写snort的检测规则
最佳答案
- 五星知识达人网友:西岸风
- 2021-02-26 08:57
snort的每一条规则分为规则头和规则体。例如第一条规则:
alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP missing community string attempt"; content:"|04 00|"; depth:15; offset:5; metadata:service snmp; reference:bugtraq,2112; reference:cve,1999-0517; classtype:misc-attack; sid:1893; rev:6;)
括号(之前为规则头。括号之内的是规则体。
这条规则讲到,如果一条目的地为$HOME_NET的UDP数据包,目的端口为161,则产生一个报警(alert)。该报警在日志文件或者其它报警输出方式中就显示为:SNMP missing community string attempt。snort如何判断该攻击呢?是通过查找UDP数据包中是否存在十六进制04 00。(因为snort是一个特征匹配类型的IDS,所以这是它基本的工作原理)后边的偏移位,深度,参考,分类,sid之类的不多说了。要想用好snort,还得看文档,好好熟悉规则,并在实际中应用,再做出修改。
alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP missing community string attempt"; content:"|04 00|"; depth:15; offset:5; metadata:service snmp; reference:bugtraq,2112; reference:cve,1999-0517; classtype:misc-attack; sid:1893; rev:6;)
括号(之前为规则头。括号之内的是规则体。
这条规则讲到,如果一条目的地为$HOME_NET的UDP数据包,目的端口为161,则产生一个报警(alert)。该报警在日志文件或者其它报警输出方式中就显示为:SNMP missing community string attempt。snort如何判断该攻击呢?是通过查找UDP数据包中是否存在十六进制04 00。(因为snort是一个特征匹配类型的IDS,所以这是它基本的工作原理)后边的偏移位,深度,参考,分类,sid之类的不多说了。要想用好snort,还得看文档,好好熟悉规则,并在实际中应用,再做出修改。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯