当前位置:  技术问答>linux和unix

哪位大侠给讲解一个snort规则的例子?

    来源: 互联网  发布时间:2016-06-09

    本文导语:  alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP null community string at tempt"; content:"|04 01 00|"; depth:15; offset:5; metadata:service snmp; referen ce:bugtraq,2112; reference:bugtraq,8974; reference:cve,1999-0517; classtype:misc -attack; sid:1892;...

alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP null community string at
tempt"; content:"|04 01 00|"; depth:15; offset:5; metadata:service snmp; referen
ce:bugtraq,2112; reference:bugtraq,8974; reference:cve,1999-0517; classtype:misc
-attack; sid:1892; rev:8;)

|
Snort系统根据入侵者在进行入侵时所执行程序的某些行为为特征,建立一种入侵行为模型。根据这种行为模型所代表的入侵意图的行为特征,来

判断用户执行的操作是否是属于入侵行为。

要建立一个这样的特征信息(又称攻击签名) 库的前提是必须建立一个有效、可扩展的特征描述方法,能够描述所有的入侵事件。

Snort 规则分为两部分: 规则头部和规则选项。
规则头部包含规则的操作、协议、源IP 地址和目标IP 地址及其网络掩码和端口;
规则选项包括报警信息、需要检测的模式信息、索引信息。
    一条规则中不同部分必须同时满足才能执行,相当于“与”操作。
    同一个规则数据库文件中的所有规则之间相当于一个“或”操作。

(i) 规则操作说明当发现适合条件的数据包时应该做些什么。有以下三种操作。
  •alert :使用选定的告警方法产生警报,并记录这个数据包;
  •log :记录该数据包;
  •pass :忽略该数据包。
(ii) 协议项说明Snort规则定义的这种攻击应用的是何种协议。
(iii) IP地址和端口项。关键字“ANY”可以用来定义任何IP地址。网络引擎没有提供从主机名称到IP地址的转换,所以IP地址规定为点分十进

制的IP地址格式,在IP地址后指定网络掩码。如/24指定一个C类网络,/16指定一个B类网络,/32指定一个特定主机。如192.168.1.0/24指定了

从192.168.1.1到192.168.1.255的一个范围的IP地址。
IP地址有一个“非”操作。这个操作符号用来匹配所列IP地址以外的所有IP地址。“非”操作使用符号“!”表示。如,任何由外部网络发起的

连接可以表示为:
alert tcp ! 192.168.1.0/24 any -> 192.168.1.0/24 111
端口号可以用几种方法指定: 用“ANY”、数字、范围以及用“!”操作符。“ANY”指定任意端口。静态数值指定一个单一端口,如80为HTTP,

23为TELNET等。指定端口范围用“:”它可以指定一个范围内的所有端口。如:
log udp any any -> 192.168.1.0/24 1:1024
记录任何从任意主机发起的到目标网络任何主机上的1~1024端口的UDP协议数据包。
log tcp any any -> 192.168.1.0/24 :6000
记录任何从任意主机发起的到目标网络任何主机上的端口号小于等于6000的TCP协议数据。
log tcp any :1024 -> 192.168.1.0/24 500:
记录任何从任意主机上端口号小于等于1024到目标网络任何主机上的端口号大于等于500的TCP协议数据。
  端口的“非”操作可以修饰ANY以外的任何端口指定方式。例如,你想记录Xwindow以外的任何端口,可以使用如下规则:
log tcp any any -> 192.168.1.0/24 !6000:6010
(iv) 方向操作符“ ->”规定了规则应用的数据流方向。其左边的IP地址为数据流的起点,右边为终点。双向操作符为“”,它告诉SNORT应

该关注任何方向的数据流,例如:
log ! 192.168.1.0/24 any  192.168.1.0/24 23
(2) 规则选项
规则选项形成了检测系统的核心,具有易用性、功能强和灵活性。一个规则的规则选项中可能有多个选项,不同选项之间使用“;”分隔开来,

它们之间为“与”的关系。选项由关键字和参数组成,每个关键字和它的参数之间使用冒号“:”分隔。现在可以解释的关键字有:
msg 在警报和记录的数据中打印消息。
logto 将数据包记录到一个用户指定的文件中。
ttl 检测IP 数据包的TTL 域。
id 检测IP 数据包的分段ID 域是否等于特定的值。
dsize 检测数据包的有效荷载是否等于特定的值。
content 在数据包的有效荷载重搜索特定的模式串。
offset 设定content 中所说的起点。
depth 设定content 中所说的终点。
nocase 设定搜索中使用与大小写无关的方式。
flags 检测TCP 数据包的标志是否等于特定的值。
seq 检测TCP 的顺序号是否对应于特定的值。
ack 检测TCP 的应答域否对应于特定的值。
itype 检测ICMP 类型域是否等于特定的值。
icode 检测ICMP CODE 域是否等于特定的值。
session 将应用层中一个指定的会话总的数据复制出来。
icmp id 检测ICMP ECHO ID 域是否等于特定的值。
icmp seq 检测ICMP ECHO 顺序号是否等于特定的值。
ipoption 检测IP 数据包中的协议头部的选项部分是否存在特定值。
rpc 检测RPC 服务的特定应用。
resp 主动应答。
下面是Snort 规则的三个典型实例:
1. [特洛依木马]活动
  规则定义如下:
alert UDP $INTERNAL 31337 -> $EXTERNAL any (msg :“IDS 189/ Trojan-active-back-orifice”;)
含义为:当有人对你的电脑UDP 端口31337连线送入资料时,向管理员发出[ 特洛依木马]程式Back Orifice 在活动的警报。
2. 分布式拒绝服务(DDoS) 攻击
规则定义如下:
alert tcp $EXTERNAL_NET any -> $HOME NET 12754 (msg :“DDOS mstream client to handler”; content: “>”; flags: A + ; 

referenc : cve, CAN-2000-0138; classtype: attempted-dos; sid: 247; rev: 1;)
含义为:目的端口号为12754 的TCP 连接中, 数据包含字符串“>”时,向管理员发出警报。
3. Ping 扫描攻击
规则定义如下:
alert icmp $EXTERNAL NET any - > $HOME NET any (msg :“ICMP webtrends scanner”; content :“| 00 00 00 00 45 45 45 45 45 45 

45 45 45 45 45 45 |”; itype : 8 ; icode : 0 ; reference : arachnids , 307 ; classtype :attempted - recon ; sid :476 ; rev :1 

;)
含义为: ICMP 的ping 报文中的数据含有字符串“00 00 00 00 45 45 45 45 45 45 45 45 45 45 45 45”时,向管理员发出警报。

    
 
 

您可能感兴趣的文章:

  • -- 哪位大侠给我讲解、讲解这个口令啥意思? --
  • 那位大侠能讲解一下关于在DEVFS下的LINUX驱动程序和以前的不同之处。非常感谢!
  • MIPS 汇编语句,哪位大侠给我讲解一下(尤其是里面的数字不理解)
  • 那位大侠给我一个线程池的例子程序看看
  • 求助:请问各位大侠,哪儿有一个关于开发EJB完整的从发布到运行的例子
  • petstore这个例子怎么看呀,感觉没有头绪,好象bea公司打包打的不对呀,都有重复的,请分析过petstore的大侠指点小弟一下。
  • 各位大侠,在windows2000下用jb7调试RMI,用jb7提供的例子都通不过!!求救
  • "方法不能改变自己的参数值 " 和"按值传递",这两句话是一个意思吗,请各位大侠给我举个例子说明一下,谢谢
  • 哪位大侠能给讲讲synchronized关键字,最好能给出例子,感激不尽
  • 如何运行sun公司Tutorial的例子?请有经验的大侠指教。。。一定送分
  • 那位大侠能给我一个tomcat中使用连接池的例子,谢谢。
  • 100分:~~请哪位大侠随便用java写一个socket传文件的例子,服务器和客户端写全哦!!~~
  •  
    本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
    本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • 各位大侠,本人是新手上路,经理马上让做palm,我可是从0学起!有没有那位大侠给我介绍一点经验和好的技术论坛,谢了!
  • hotenM(CMP)大侠等EJB大侠进来!小问题请教!
  • 请教大侠,怎么选开发学习板?
  • 大侠请援手:有关动态连接库。
  • 写过BBS的大侠看过来!
  • 请各位大侠推荐两本Solaris的经典书籍?
  • 各位大侠,求助Linux下关机
  • 大侠们,我是新手,请教怎么判断串口是否有连接
  • 想各位大侠求教了,为什么我的jdbc驱动不支持absolute这个方法呢?
  • 数据恢复, 求大侠帮助, 急等!!!!!!!
  • 各位大侠,给点意见
  • JSP+数据库文本存取中的换行问题,请教大侠
  • 各位大侠:lock 命令怎么用?
  • 关于session方面的问题!哪位大侠帮帮忙!?
  • 各位大侠,那有JBuilder书down? 那有PDF格式文件的阅读器?
  • 各位大侠,还有一问题请教,如下:
  • 请“路人甲”大侠进来来看看。。。多谢了。。
  • 请各位大侠介绍几本 UNIX 的书籍
  • solaris,请大侠帮忙!
  • 哪位大侠能提供一些Motif的电子书?


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3