一條snort規則分為規則頭和規則體 ,規則體內有規則選項, 規則選項在圓括號內
規則頭(規則選項)alert icmp any any ->any any (msg:"ping with tll=100"; ttl: 100;)規則頭告訴snort在什麼範圍內去應用規則,並且做出什麼動作。
alert icmp any any ->any any規則選項通常包括乙個msg(報警訊息)作為提示資訊,以及包的哪乙個部分滿足什麼條件會觸發規則,規則選項有42種關鍵字(這個數字可能不準確,看的資料比較老了)。語法為關鍵字:變數,關鍵字之間用;分隔。
當規則集被載入到記憶體中時,規則頭和規則選項被對映成內部資料結構,乙個三維鏈結表。
第乙個維度:規則頭被對映到規則樹節點(rule tree node ,rtn)
第二個維度:規則選項則被對映到選項樹節點(option tree node ,otn)
第三個維度:一組功能指標,確定哪個選項應當應用於將被檢查的包。
snort 規則編寫
snort規則分為兩個部分 規則的頭部和規則選項。首先,規則頭部包含著規則 動作 協議 源位址和目標位址 源埠 目標埠。第二部分是規則選項,它包含著乙個警告訊息和某資料報有關部分的資訊 如果要採取某個動作的話,就應當看一些這種資訊 例如 alert tcp any any 192.168.1.0 2...
Snort安裝使用規則
1 安裝libpcap 解壓 tar zxvf libpcap 1.0.0.tar.gz cd libpcap 1.0.0 配置 configure 編譯 make cd 安裝 make install 2 安裝pcre tar zxvf pcre 8.00.tar.gz cd pcre 8.00 ...
snort規則byte test詳細解釋
自我的部落格 網上關於snort規則的解讀不夠詳細,有些規則甚至沒有具體的解釋。根據個人經驗,介紹幾個如下 byte test 測試乙個位元組的域為特定的值。能夠測試二進位制值或者把位元組字串轉換成二進位制後再測試。格式 byte test relative big little string he...