snort_manual.rar_linuxmanual_snort_manual资源-CSDN文库

共1个文件

pdf：1个

版权申诉

69 浏览量 2022-09-14 16:57:46 上传评论收藏 745KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

snort_manual.rar （1个子文件）

snort_manual.pdf 818KB

SNORT



Users Manual

2.8.5

The Snort Project

September 21, 2009

1998-2003 Martin Roesch

2001-2003 Chris Green

2003-2009 Sourceﬁre, Inc.

Contents

1 Snort Overview 8

1.1 Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.2 Sniffer Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.3 Packet Logger Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.4 Network Intrusion Detection System Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.4.1 NIDS Mode Output Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.4.2 Understanding Standard Alert Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.4.3 High Performance Conﬁguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.4.4 Changing Alert Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.5 Inline Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.5.1 Snort Inline Rule Application Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.2 Replacing Packets with Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.3 Installing Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.5.4 Running Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.5.5 Using the Honeynet Snort Inline Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.5.6 Troubleshooting Snort Inline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.6 Miscellaneous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.6.1 Running Snort as a Daemon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.6.2 Running in Rule Stub Creation Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.6.3 Obfuscating IP Address Printouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.6.4 Specifying Multiple-Instance Identiﬁers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.7 Reading Pcaps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.7.1 Command line arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.7.2 Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.8 Tunneling Protocol Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.8.1 Multiple Encapsulations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.8.2 Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.9 More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2 Conﬁguring Snort 20

2.1 Includes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.1.1 Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.1.2 Variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.1.3 Conﬁg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.2 Preprocessors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.2.1 Frag3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.2.2 Stream5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.2.3 sfPortscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.2.4 RPC Decode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

2.2.5 Performance Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

2.2.6 HTTP Inspect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

2.2.7 SMTP Preprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

2.2.8 FTP/Telnet Preprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

2.2.9 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

2.2.10 DCE/RPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

2.2.11 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

2.2.12 SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

2.2.13 ARP Spoof Preprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

2.2.14 DCE/RPC 2 Preprocessor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

2.3 Decoder and Preprocessor Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

2.3.1 Conﬁguring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

2.3.2 Reverting to original behavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

2.4 Event Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

2.4.1 Rate Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

2.4.2 Event Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

2.4.3 Event Suppression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

2.4.4 Event Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

2.5 Performance Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

2.5.1 Rule Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

2.5.2 Preprocessor Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

2.5.3 Packet Performance Monitoring (PPM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

2.6 Output Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

2.6.1 alert

syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

2.6.2 alert

fast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

2.6.3 alert

full . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

2.6.4 alert

unixsock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

2.6.5 log

tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

2.6.6 database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

2.6.7 csv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

2.6.8 uniﬁed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

2.6.9 uniﬁed 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

2.6.10 alert

prelude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

2.6.11 log null . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

2.6.12 alert

aruba action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

2.7 Host Attribute Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

2.7.1 Conﬁguration Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

2.7.2 Attribute Table File Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

2.8 Dynamic Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

2.8.1 Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

2.8.2 Directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

2.9 Reloading a Snort Conﬁguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

2.9.1 Enabling support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

2.9.2 Reloading a conﬁguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

2.9.3 Non-reloadable conﬁguration options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

2.10 Multiple Conﬁgurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

2.10.1 Creating Multiple Conﬁgurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

2.10.2 Conﬁguration Speciﬁc Elements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

2.10.3 How Conﬁguration is applied? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

3 Writing Snort Rules 113

3.1 The Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

3.2 Rules Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

3.2.1 Rule Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

3.2.2 Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

3.2.3 IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

3.2.4 Port Numbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

3.2.5 The Direction Operator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

3.2.6 Activate/Dynamic Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

3.3 Rule Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

3.4 General Rule Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

3.4.1 msg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

3.4.2 reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

3.4.3 gid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

3.4.4 sid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

3.4.5 rev . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

3.4.6 classtype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

3.4.7 priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

评论收藏

内容反馈

版权申诉

钱亚锋

粉丝: 105
资源: 1万+

snort_manual.rar_linux manual_snort_manual

最新资源

snort_manual.rar_linux manual_snort_manual

Linux-c-function-manual.rar_linux manual

u-boot-manual.rar_linux manual

Linux-C-library-function-manual.rar_linux manual

exE-4.rar_linux manual

ARM-Linux-load-at-startup.rar_linux manual

snort_manual.pdf

snort_manual

Snort中文手册.pdf

Snort_SSL_FC2.pdf

snort安装手册及文件

MINIGUI-API-REF-MANUAL-V1.6-E.pdf.rar_linux manual_minigui api

MINIGUI-USER-MANUAL-V1.3-1-C.rar_linux manual_minigui

JSVM_9_19_9.rar_IEC_JSVM 9.19.15_linux manual

ltp1245.rar_LTP1245 manual_it_linux LTP_ltp_ltp1245

abs-guide.rar_Shell ABS_linux manual

基于Linux的Snort入侵检测系统的研究与应用.pdf

snort manual

snort2 user manual

基于snort的入侵检测

中国鹰派专用安全教程(CHM).rar

TQ6410_Linux_manual.rar_linux manual_linux s3c6410_s3c6410_tq641

nmi.rar_linux manual_nmi

ddd.rar_ddd_ddd linux_ddd manual_linux_linux ddd

FreeBSD_Manual.rar_BSD_freebsd_linux manual

Ubuntu_manual.rar_linux manual

Snort中文手册

phplot-5.3.0

tcp-thin.rar_linux manual

最新资源