如何编写snort的检测规则.docxVIP

摘要 snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行有哪些信誉好的足球投注网站/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。(2002-07-09 13:13:25) By 书生 前言 snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行有哪些信誉好的足球投注网站/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。 1.基础 snort使用一种简单的规则描述语言,这种描述语言易于扩展，功能也比较强大。下面是一些最基本的东西： snort的每条规则必须在一行中，它的规则解释器无法对跨行的规则进行解析。注意：由于排版的原因本文的例子有的分为两行。 snort的每条规则都可以分成逻辑上的两个部分：规则头和规则选项。规则头包括：规则行为(rules action)、协议(protocol)、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码,signature)，使用这些特征码来决定是否采取规则规定的行动。 这是一个例子： alert tcp any any - /24 111(content:|00 01 86 a5|;msg:mountd access;) 表1.一条简单的snort规则 从开头到最左边的括号属于规则头部分，括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。注意对于每条规则来说规则选项不是必需的，它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包，snort才会执行其规则行为。如果许多选项组合在一起，它们之间是逻辑与的关系。让我们从规则头开始。 1.1 include snort使用的规则文件在命令行中指定，include关键词使这个规则文件可以包含其它规则文件中的规则，非常类似与C语言中的#include。snort会从被包含的文件读出其内容，取代include关键词。 格式： include 文件路径/文件名 注意：行尾没有分号。 1.2 varriables 在snort规则文件中可以定义变量。 格式： var 例子： var MY_NET /24,/24] $MY_NET any (flags:S;msg:SYNMETA packet;) 表2.变量的定义和使用 规则变量名可以使用多种方式来修改，你可以使用$操作符来定义元变量(meta-variables)。这些修改方式可以结合变量修改操作符：?和-来使用。 $var：定义元变量 $(var)：以变量var的内容作为变量名 $(var:-default)：以变量var的内容作为变量名，如果var没有定义就使用default作为变量名 $(var:?message)：使用变量var的内容作为变量名，如果不成功就打印错误信息message并退出。 例如： var MY_NET $(MYU_NET:-/24) tcp any any - $(MY_NET:?MY_NET is undefined!) 23 表3.高级变量应用 2.规则头(Rule Headers) 2.1 Rule Action 规则头包含一些信息，这些信息包括：哪些数据包、数据包的来源、什么类型的数据包，以及对匹配的数据包如何处理。每条规则的第一项就是规则行为(rule action)。规则行为告诉snort当发现匹配的数据包时，应该如何处理。在snort中，有五种默认的处理方式：alert、log、pass、activate和dynamic。 alert：使用选定的报警方法产生报警信息，并且记录数据包 log：记录数据包 pass：忽略数据包 activate：报警，接着打开其它的dynamic规则 dynamic：保持空闲状态，直到被activete规则激活，作为一条log规则 你也可以定义自己的规则类型，把它们和一个或者几个输出插件联系在一起。然后你就可以在snort规则中使用这些规则类型了。 这个例子将建立一个类型，它将只以tcpdump格式输出日志： ruletype suspicious { type log output log_tcpdump: suspocious.log } 下面这个例子将建立一个类型，把日志发送到syslog和MySql数据库： 