如图 5-15 所示, Snort 规则可以划分为两个逻辑部分:
规则头和规则选项。规则头包含了规则动作、协议、 IP 源
地址和目的地址、子网掩码以及源端口和目标端口值等信
息。而规则选项则包含警报信息以及用于确定是否触发规
则响应动作而需检查的数据包区域位置的相关信息。
Snort 规则头主要由下列字段的信息组成。
( 1 ) 规则动作
规则动作定义了在当前数据包满足所有在规则中指定的属
性特征的情况下,所应该采取的行动。它位于规则的首
位,在 Snort 中定义了 3 种基本的动作类型。