网学网为广大网友收集整理了,Snort语法结构规则分析与规则增加,希望对大家有所帮助!
3. SNORT规则分析 3.1 SNORT规则简介 Snort 规则是Snort入侵检测系统的关键,只有装载了规则文件后,Snort才能真正具有入侵检测功能。Snort将所有已知的攻击以规则的形式放在规则库中,每一条规则由规则头和规则选项两部分组成[17]。规则头定义了规则的行为、所匹配网络报文的协议、源地址、目标地址、网络掩码、源端口和目标端口信息;规则选项部分包含了所要显示给用户的警告信息以及用于确定是否触发规则响应行为而需检查的数据包区域位置信息。 Snort规则的基本格式为:<order><rule action> <protocol> <src_ip> < src_port> <dstip> <dst_ port><(rule _options)> ,分别表示规则的顺序、行为、协议、源地址、源端口、目的地址、目的端口和规则选项,其中规则选项是可选的[18]。 例:alert tcp any any –> 210.43.104.0/24 21 (msg:”FTP serv-u directory transversal”;content:”.%20.”;nocase;sid:360;rev:9;) 在这个例子当中,左括号前面是规则头,圆括号内的内容是规则选项,在规则选项中,位于“:”之前的称为选项关键字。规则选项不是对每个规则而言都是必须的部分,它们只是用来更好地定义所要进行某种处理的数据包类型。只有当规则中的每一个元素都为真时,才能触发相应的规则。 3.2 规则头 3.2.1规则行为 规则头中的第一项是规则行为[19]。规则行为是当发现一个数据包满足规则中的指定属性时,Snort将做什么。当前版本的Snort提供五种默认的动作行为:报警(alert)、写入日志(log)、忽略(pass)、启动(activate)、动态(dynamic)。另外,当Snort运行在inline模式的时候还可以选择动作:丢弃(drop)、拒绝(reject)、简单丢弃(sdrop)。 Alert:根据选定方法产生一个报警,然后把数据包记入日志 Log:把数据包记入日志 Pass:忽略数据包 Activate:警告并且触发相应的dynamic规则 Dynamic:空闲直到被activate规则激活,然后记日志 Drop:使防火墙丢弃数据包并把数据包记入日志 Reject:使防火墙丢弃数据包并把数据包记入日志,然后如果是TCP协议就发送一个TCP reset,如果是UDP协议就发送一个ICMP不可达的消息 Sdrop:使防火墙丢弃数据包但不记入日志 其中Activate和Dynamic两个关键字必须同时使用,协同工作,可以通过它们建立有上下文联系的链式规则。当activate规则触发时,它启动对应的dynamic规则,dynamic规则再按自己的配置进行动作。Activate规则和alert规则十分相似,dynamic的行为则类似log规则。 Activate tcp any any -> any 21 (activates: 5; msg: ”example of linked rules”;) Dynamic tcp any any -> any 21 (activated_by:5; count:100;) 上面的两条规则构成一个链式反应,当有FTP请求连接到21号端口时就会触发第二条规则,记录后面捕获的100个包。 3.2.2协议 Snort规则中的下一个域是协议。Snort当前只分析了四种协议(TCP,UDP,ICMP,和IP)的可疑行为。未来的版本可能支持更多的协议,如:ARP,IGRP,OSPF,RIP,IPX等等。 3.2.3源和目的IP IP地址由数字IP地址和CIDR块组成,CIDR块表示网络掩码。一个CIDR块掩码/24表示是一个C类网,/32表示是一个特殊的主机地址。例如,192.168.1.0/24代表从192.168.1.1到192.168.1.255的地址块。在这个地址范围的任何地址都匹配使用这个192.168.1.0/24标志的规则。这种记法给我们提供了一个很好的方法来表示一个很大的地址空间 
|
| 本站发布的计算机毕业设计均是完整无错的全套作品,包含开题报告+程序+论文+源代码+翻译+答辩稿PPT |
本文选自计算机毕业设计http://myeducs.cn
|
