snort2.8规则库文件资源-CSDN文库

snort

5星 · 超过95%的资源需积分: 13 125 浏览量 2008-09-16 09:27:41 上传评论 3 收藏 5.64MB GZ 举报

共2000个文件

txt：13457个

so：160个

rules：62个

资源推荐

资源详情

资源评论

收起资源包目录

snort 2.8规则库文件（2000个子文件）

exploit_squid-ntlm-auth.c 12KB

dos_openldap-authcid.c 10KB

smtp_exchange-base64.c 9KB

netbios_writex.c 8KB

exploit_cve-2006-4510-novell.c 8KB

web-client_quicktimejpeg-underflow.c 8KB

exploit_imail-ldap.c 8KB

dos_openldap-bind-request-dos.c 8KB

exploit_cve-2006-4509-novell.c 7KB

misc_mozilla-sslv2-cmk.c 7KB

dos_tivoli-director-bind-string-overflow.c 6KB

bad-traffic_linux-icmp-handling-dos.c 6KB

exploit_ber.c 6KB

dos_ber.c 6KB

smtp_ipswitch-rcptto-overflow.c 6KB

bad-traffic_pgm-nak-overflow.c 6KB

nntp_xhdr-bo.c 6KB

exploit_citrix-metaframe-bo.c 6KB

misc_mysql-com-table-dump.c 5KB

p2p_winny.c 5KB

dos_igmpv3.c 5KB

exploit_dhcp-option-overflow.c 4KB

dos_ms06-32.c 4KB

_meta.c 881B

exploit_ber.h 2KB

dos_ber.h 2KB

_meta.h 638B

snort_manual.pdf 747KB

faq.pdf 364KB

snort_schema_v106.pdf 17KB

VRT-License.txt 16KB

expected.txt 13KB

expected.txt 10KB

expected.txt 9KB

expected.txt 8KB

expected.txt 6KB

115.txt 4KB

3064.txt 4KB

3081.txt 4KB

3082.txt 4KB

3083.txt 4KB

12705.txt 4KB

12704.txt 4KB

12706.txt 4KB

2100.txt 3KB

3009.txt 3KB

1325.txt 3KB

2192.txt 3KB

107.txt 3KB

2350.txt 3KB

2491.txt 3KB

3673.txt 3KB

103.txt 3KB

2493.txt 3KB

2492.txt 3KB

expected.txt 3KB

2522.txt 3KB

364.txt 3KB

363.txt 3KB

2007.txt 3KB

2005.txt 3KB

2006.txt 3KB

3063.txt 3KB

3016.txt 3KB

3015.txt 3KB

356.txt 3KB

共 2000 条

Snort

Users Manual

2.7.0

The Snort Project

June 1, 2007

1998-2003 Martin Roesch

2001-2003 Chris Green

2003-2006 Sourceﬁre, Inc.

Contents

1 Snort Overview 7

1.1 Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.2 Sniffer Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3 Packet Logger Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.4 Network Intrusion Detection System Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.4.1 NIDS Mode Output Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.4.2 Understanding Standard Alert Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.4.3 High Performance Conﬁguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.4.4 Changing Alert Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.5 Inline Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.5.1 Snort Inline Rule Application Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.5.2 New STREAM4 Options for Use with Snort Inline . . . . . . . . . . . . . . . . . . . . . . . 12

1.5.3 Replacing Packets with Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.4 Installing Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.5 Running Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.6 Using the Honeynet Snort Inline Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.7 Troubleshooting Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6 Miscellaneous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.1 Running in Daemon Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.2 Obfuscating IP Address Printouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6.3 Specifying Multiple-Instance Identiﬁers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.7 More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 Conﬁguring Snort 16

2.0.1 Includes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.0.2 Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.0.3 Conﬁg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.1 Preprocessors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.1.1 Frag3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.1.2 Stream4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.1.3 Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2.1.4 Stream5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2.1.5 sfPortscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

2.1.6 RPC Decode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

2.1.7 Performance Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

2.1.8 HTTP Inspect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

2.1.9 SMTP Preprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

2.1.10 FTP/Telnet Preprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

2.1.11 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

2.1.12 DCE/RPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

2.1.13 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

2.2 Event Thresholding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

2.3 Performance Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

2.3.1 Rule Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

2.3.2 Preprocessor Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

2.4 Output Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

2.4.1 alert

syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

2.4.2 alert

fast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

2.4.3 alert

full . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

2.4.4 alert

unixsock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

2.4.5 log

tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

2.4.6 database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

2.4.7 csv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

2.4.8 uniﬁed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

2.4.9 alert

prelude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

2.4.10 log null . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

2.4.11 alert

aruba action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

2.5 Dynamic Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

2.5.1 Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

2.5.2 Directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

3 Writing Snort Rules:How to Write Snort Rules and Keep Your Sanity 73

3.1 The Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

3.2 Rules Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

3.2.1 Rule Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

3.2.2 Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

3.2.3 IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

3.2.4 Port Numbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

3.2.5 The Direction Operator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

3.2.6 Activate/Dynamic Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

3.3 Rule Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

3.4 Meta-Data Rule Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

3.4.1 msg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

3.4.2 reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

3.4.3 sid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

3.4.4 rev . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

3.4.5 classtype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

3.4.6 priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

3.4.7 metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

3.5 Payload Detection Rule Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

3.5.1 content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

3.5.2 nocase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

3.5.3 rawbytes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

3.5.4 depth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

3.5.5 offset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

3.5.6 distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

3.5.7 within . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

3.5.8 http

client body . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

3.5.9 http

uri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

3.5.10 uricontent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

3.5.11 isdataat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

3.5.12 pcre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

3.5.13 byte

test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

3.5.14 byte

jump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

3.5.15 ftpbounce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

3.5.16 asn1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

3.5.17 regex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

3.5.18 content-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

3.6 Non-Payload Detection Rule Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

3.6.1 fragoffset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

3.6.2 ttl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

3.6.3 tos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

3.6.4 id . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

3.6.5 ipopts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

3.6.6 fragbits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

3.6.7 dsize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

3.6.8 ﬂags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

3.6.9 ﬂow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3.6.10 ﬂowbits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

评论收藏

内容反馈

zoumian11

2013-12-17

可以使用，不过版本好像老了一点
WhistleOfTheWind

2014-10-11

很不错的东西，有帮助哦
youhuai

2012-07-11

已经使用过，比较严密的一套规则，非常不错。
Yzz学学

2014-05-12

初学者不太会用，慢慢学习，不管怎样，谢谢分享
Protoss_Dragon

2012-11-19

thx，特征串库很全

前往

页

fuxianlu

粉丝: 0
资源: 2

snort 2.8规则库文件

snort规则库

Snort2.8规则集

snort规则库 好东西

snort规则包

snort rules

Snort-Rules:Snort 23条规则的集合

入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件

snort rule snort rules snort 规则集 2900

snort的2.9.5.5版本的规则库

snort2.8安装需要的代码包

著名的开放源代码入侵检测软件snort 2.8

snort2.7规则库文件

snort-2.8.5.1源代码

snort 规则

Snort 2.9.9.0 规则库 snortrules-snapshot-2990.tar.gz

snort2.9规则库

最新snort规则，都可用哦

snort2.9.12规则库

snortrules-snapshot-2980.tar.gz

网络入侵检测系统snort-2.8.6.1

snort 2.9 规则库

snort-2.8.3.1源码及windows安装包

snort-2.8.4.1.tar.gz

SNORT2.8.5.3

snort-2.8.5.2

snortrules-snapshot-2.8.tar.rar

Snort_2_8_6_Installer.exe

snort最新规则（很难下到的）

最新资源

snort规则库好东西