snort的规则.ppt

Snort的规则 规则描述语言 规则是特征模式匹配的依据，描述语言易于扩展，功能也比较强大 多数snort规则都写在一个单行上，或者在多行之间的行尾用/分隔 逻辑上由规则头和规则选项组成。规则头包括：规则行为、协议、源/目的IP地址、子网掩码、方向以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码)，使用这些特征码来决定是否采取规则规定的行动。 Snort的规则 规则描述语言举例 alert tcp any any - /24 111(content:|00 01 86 a5|;msg:mountd access;) 从开头到最左边的括号属于规则头部分，括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词。注意对于每条规则来说规则选项不是必需的，它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包，Snort才会执行其规则行为。如果许多选项组合在一起，它们之间是逻辑与的关系。 举例说明：例子1：alert tcp any any - any 3306?(msg:MySQL Server Geometry Query Integer溢出攻击; flow:to_server,established; dsize:300; flags:A; content:|03|; nocase; offset:4; depth:1; content:select|20|geometryn|28|0x00000000000700000001; distance:10; within:50; reference:cve,2013-1861; reference:bugtraq,58511; classtype-danger:medium; sid:14999; rev:1;) 规则头：alert tcp any any - any 3306 //匹配任意源IP和端口到任意目的IP和端口为3306的TCP数据包发送告警消息。规则选项：msg:MySQL Server Geometry Query Integer溢出攻击;? //在报警和包日志中打印的消息内容。flow:to_server,established;? //检测向服务器发送方向的报文。dsize:300; //应用层负载包长度小于300flags:A;? //TCP flags值为10content:|03|; nocase; offset:4; depth:1; //负载偏移4取1的值为03,不区分大小写，这块写的应该是有问题字符串有不区分大小写，16进制不涉及。content:select|20|geometryn|28|0x00000000000700000001; distance:10; within:50; //相对于上面的03特征向后偏移10个字节之后再取50个字节，50个字节里边包含select|20|geometryn|28|0x00000000000700000001reference:cve,2013-1861; reference:bugtraq,58511; //可参考cve和bugtraqclasstype-danger:medium; //危险等级中等sid //规则IDrev:1;) //版本信息，第一个版本 举例说明：例子2：heartbleed漏洞下行检测规则alert tcp $EXTERNAL_NET any - $HOME_NET 443 (msg:openssl Heartbleed attack;flow:to_server,established; content:|18 03|; depth: 3; byte_test:2, , 200, 3, big; byte_test:2, , 16385, 3, big; threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160; classtype:bad-unknown; sid rev:2;)规则头：alert tcp $EXTERNAL_NET any - $HOME_NET 443 EXTERNAL_NET和HOME_NET都在/etc/snort/snort.conf中配置。规则选项：msg:openssl Heartbleed attack;//消息信息flow:to_server,established; //向服务器发送的请求包检测一次content:|18 03|; depth: 3; //头部3个字节之内存在0x1803byte