如何编写snort的检测规则
5星 · 超过95%的资源 需积分: 20 94 浏览量
2011-08-07
21:29:42
上传
评论 1
收藏 73KB DOC 举报 
如何编写 snort 的检测规则
是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志 网络数据包的能力,
能够进行协议分析,对内容进行搜索匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此
外, 具有很好的扩展性和可移植性。本文将讲述如何开发 规则。
基础
使用一种简单的规则描述语言这种描述语言易于扩展,功能也比较强大。下面是一些最基本的东
西:
的每条规则必须在一行中,它的规则解释器无法对跨行的规则进行解析。注意:由于排版的原
因本文的例子有的分为两行。•
的每条规则都可以分成逻辑上的两个部分:规则头和规则选项。规则头包括:规则行为
、协议、源目的 地址、子网掩码以及源目的端口。规则选项包含报警信息和异常包的
信息特征码,使用这些特征码来决定是否采取规则规定的行动。•
这是一个例子:
!"#$#"%&!"&'"%
表 一条简单的 规则
从开头到最左边的括号属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫
做选项关键词()'。注意对于每条规则来说规则选项不是必需的,它们是为了更加详细地定
义应该收集或者报警的数据包。只有匹配所有选项的数据包, 才会执行其规则行为。如果许多选项
组合在一起,它们之间是逻辑与的关系。让我们从规则头开始。'
使用的规则文件在命令行中指定,' 关键词使这个规则文件可以包含其它规则文件中的规则 ,
非常类似与 * 语言中的+'。 会从被包含的文件读出其内容,取代 ' 关键词。
格式:
',文件路径文件名
注意:行尾没有分号。
-.
在 规则文件中可以定义变量。
格式:
-/
例子:
-012345 670123458!9%&!913045:("%
表 变量的定义和使用
剩余21页未读,继续阅读
资源评论
yuanxy19902012-05-09编写规则函数的说明,值得一看- owen1314202015-08-27编写规则函数的说明,值得一看
「已注销」2014-09-18snort规则语法,比较全面。只是word格式稍显凌乱。
取个昵称好难啊Elaine2013-10-17规则说明...
