Hvordan lage en Snort regelsett

Hvordan lage en Snort regelsett


Snort er et gratis nett-inntrenging-deteksjon-og-forebygging program for operativsystemet Linux. Snort har en innebygd motor som gjør at du kan skrive dine egne regler ved hjelp av en spesialisert språk. Snort regler er sammensatt av to deler: header og alternativene. Regler følger et grunnleggende mønster: En innkommende datapakke er undersøkt og testet mot detaljene i reglene. Hvis en betingelse er oppfylt - hvis pakken er fra en bestemt adresse, for eksempel - en handling er tatt. Du kan bruke denne grunnleggende mønster for å lage dine egne Snort regler.

Bruksanvisning

1 Gjør deg kjent med den generelle formen av en Snort regel. En regel ser slik ut:

handling protokoll address0_IP address0_port retning address1_ip address1_port (opsjoner)

2 Bestem hvilke "action" du ønsker at regelen skal ta. Den "action" feltet bestemmer hva regelen faktisk oppnår. Den "log" handling, for eksempel, registrerer bare den nettverkshendelse. Den "alert" handling sender en melding som er bestemt av Snort konfigurasjonsfil eller sender en melding til kommandolinjen. Se i Snort dokumentasjon for en fullstendig liste over akseptable handlinger.

3 Bestem hva protokollen du som du vil at regelen skal gjelde. Den "protokoll" felt refererer til nettverksprotokollen som brukes av den datapakke, som kan være IP, ICMP, TCP eller UDP.

4 Bestemme retningen av regelen. Den "retning" -feltet forteller Snort hvilken adresse som er kilden til pakken, og som er bestemmelsesstedet. For eksempel ved å plassere karakteren sekvens "->" i destinasjonsfeltet, "address0_IP" er kilden IP-adressen til datapakke, mens "address1_IP" er pakken destinasjon.

5 Skriv en Snort regel som varsler programmet når trafikk fra en bestemt adresse er registrert. Anta at denne trafikken bruker TCP-protokollen og kommer fra adressen 192.168.2.99. Ved å bruke søkeordet "noen", kan du fylle ut porten og adressefeltene for destinasjonen for dataene. Følgende Snort regel skaper en melding når trafikken blir oppdaget fra denne adressen:

varsling tcp 192.168. 2.99 noen -> alle alle (msg: ". Trafikk fra 192.168 2,99";)