Snort er et gratis netværk intrusion - afsløring -og forebyggelse ansøgning om Linux operativsystem. Snort har en indbygget motor, der gør det muligt for dig at skrive dine egne regler ved hjælp af et specialiseret sprog. Snort regler er sammensat af to dele: header og muligheder. Regler følger et grundlæggende mønster : Et indgående datapakke undersøges og testes mod detaljerne i reglerne. Hvis en betingelse er opfyldt - hvis pakken er fra en bestemt adresse , for eksempel - en handling er taget. Du kan bruge denne grundlæggende mønster for at skabe dine egne Snort regler. Instruktioner
1
fortrolig med almindelige form af en Snort regel. En regel ser sådan ud:
handling protokol address0_IP address0_port retning address1_ip address1_port (optioner )
2
Beslut hvilket "handling" du ønsker reglen at tage. Den " handling", bestemmer, hvad reglen egentlig udretter . Den " log" handling , for eksempel, registrerer simpelthen netværket begivenhed. Den " advarsel " handling sender en besked, der er bestemt af Snort konfiguration fil eller sender en besked til kommandolinjen. Der henvises til Snort dokumentationen for en komplet liste over acceptable handlinger .
3
Beslut hvad protokol, du , som du ønsker reglen gælder. "Protokollen " feltet refererer til den netværksprotokol , der bliver brugt af datapakken , som kan være IP , ICMP , TCP eller UDP.
4
Bestem retning af reglen . Den " retning " feltet fortæller sniffer hvilken adresse er kilden af pakken , og som er destinationen . For eksempel ved at placere tegnsekvensen "->" på destinationen feltet, " address0_IP " er kilden IP -adresse til datapakken , mens " address1_IP " er pakkens destination
5
. Skriv en Snort regel, der advarer programmet , når trafik fra en bestemt adresse er opdaget. Antag denne trafik bruger TCP-protokollen og kommer fra adressen 192.168.2.99 . Ved at bruge søgeordet " nogen ", kan du udfylde havnen og adresse felter for destinationen af dataene . Følgende Snort regel opretter en meddelelse , når trafikken er opdaget fra denne adresse : Hej
alarm tcp 192.168 . 2.99 helst -> enhver enhver ( msg : " . Trafik fra 192.168 2,99 " ;)