**自我的部落格
網上關於snort規則的解讀不夠詳細,有些規則甚至沒有具體的解釋。
根據個人經驗,介紹幾個如下:
byte_test
測試乙個位元組的域為特定的值。能夠測試二進位制值或者把位元組字串轉換成二進位制後再測試。
格式:byte_test: , , , [[relative],[big],[little],[string],[hex],[dec],[oct]]
bytes_to_convert 從資料報取得的位元組數。
operator 對檢測執行的操作 (<,>,=,!)。
value 和轉換後的值相測試的值。
offset 開始處理的位元組在負載中的偏移量。
relative 使用乙個相對於上次模式匹配的相對的偏移量。
big 以網路位元組順序處理資料(預設)。
little 以主機位元組順序處理資料。
string 資料報中的資料以字串形式儲存。
hex 把字串資料轉換成十六進製制數形式。
dec 把字串資料轉換成十進位制數形式。
oct 把字串資料轉換成八進位制數形式。
例子:byte_test:4,>,1000,20
這裡是從本規則內前面匹配的位置結尾開始,向後偏移20個位元組,再獲取後面的4個位元組的資料,與十進位制資料1000進行比較,如果大於1000,就命中。
其實byte_test這個規則與content這個規則相比大致就是增加了》和《這兩個方法,因為對content來說其只能進行相等的比較。
snort 規則編寫
snort規則分為兩個部分 規則的頭部和規則選項。首先,規則頭部包含著規則 動作 協議 源位址和目標位址 源埠 目標埠。第二部分是規則選項,它包含著乙個警告訊息和某資料報有關部分的資訊 如果要採取某個動作的話,就應當看一些這種資訊 例如 alert tcp any any 192.168.1.0 2...
Snort安裝使用規則
1 安裝libpcap 解壓 tar zxvf libpcap 1.0.0.tar.gz cd libpcap 1.0.0 配置 configure 編譯 make cd 安裝 make install 2 安裝pcre tar zxvf pcre 8.00.tar.gz cd pcre 8.00 ...
Snort 規則基本語法
一條snort規則分為規則頭和規則體 規則體內有規則選項,規則選項在圓括號內 規則頭 規則選項 alert icmp any any any any msg ping with tll 100 ttl 100 直接上例項,首先只需要知道一點,這條規則代表探測到ttl位100的icmp ping包的時...