Snort.conf 文件说明

最新推荐文章于 2023-08-03 14:27:51 发布
最新推荐文章于 2023-08-03 14:27:51 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: IDS&网络安全 文章标签: classification preprocessor 服务器 oracle network sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starshift/article/details/1519145
版权

Snort.Conf说明

 

Snort.conf 文件主要分为这样几个步骤

       Step1,配置程序环境变量

       Step2,配置dynamic loaded libraries

    Step3, 配置预处理器

    Step4,配置输入输出插件

    Step5配置Snort中的特殊配置

    Step6,自定义规则文件

 

环境变量

var HOME_NET any                                            本地网络

var EXTERNAL_NET any                                        外地网络

var DNS_SERVERS $HOME_NET                                   本地域名解析

var SMTP_SERVERS $HOME_NET                              本地SMTP

var HTTP_SERVERS $HOME_NET                              本地的HTTP服务器

var SQL_SERVERS $HOME_NET                                   本地的SQL_ SERVERS服务器

var TELNET_SERVERS $HOME_NET                                本地的TELNET服务器

var SNMP_SERVERS $HOME_NET                              本地的SNMP服务器

var HTTP_PORTS 80                                       使用的HTTP服务端口

var SHELLCODE_PORTS !80                                 SHELLCODE端口

var ORACLE_PORTS 1521                                   ORACLE使用的端口

var RULE_PATH ../rules                                  本地的规则路径

 

配置动态装载库

动态装载库是动态预处理器运行需要的so文件,这里配置的内容是动态装载库在系统中的路径,不希望用户对其进行修改。默认值如下:

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

 

配置预处理器

默认配置不希望用户更改的配置有以下几种:

       ·FLOW:用于保持数据包长期的状态,配置PortScan必须,是默认配置,不希望用户修改。

       preprocessor flow: stats_interval 0 hash 2

 

    ·Frag3:用于处理IP分片,也属于默认配置

    ·portscan :用于对端口扫描进行检测

    ·

 

可选项预处理器:

       ·BO 检测BO后门程序的预处理器

       ·RPC decode:对RPC协议进行解码

       ·http_inspect保护HTTPserver

    ·telnet_decode:进行Telnet解码

    ·ftp_telnet

    ·SMTP:可以对SMTP协议正确性进行检验,同时防止利用SMTP协议进行的缓冲区溢出

    ·arpspoof:

    ·DNS

配置输出插件

配置全局忽略端口列表

自定义规则

报警日志格式

这是SNORT文本格式的报警日值,我们在55上发现了下面几个类型的异常。

 

[**] [1:1917:6] SCAN UPnP service discover attempt [**]

[Classification: Detection of a Network Scan] [Priority: 3]

01/25-08:31:47.381031 10.21.5.170:1078 -> 239.255.255.250:1900

UDP TTL:1 TOS:0x0 ID:345 IpLen:20 DgmLen:160

Len: 132

 

[**] [1:1627:3] BAD-TRAFFIC Unassigned/Reserved IP protocol [**]

[Classification: Detection of a non-standard protocol or event] [Priority: 2]

01/25-08:43:07.541942 10.21.255.255 -> 255.255.255.255

PROTO139 TTL:255 TOS:0x0 ID:1 IpLen:20 DgmLen:50

[Xref => http://www.iana.org/assignments/protocol-numbers]

 

Snort报警日值的格式遵循下面的规律:

 

[**][报警的ID]报警名称[**]/n

[Classification: 报警属于的类型][严重程度:数字,越大越严重]/n

报警产生时间 攻击发起方IP:端口 方向符号 被攻击方的IP:端口/n

使用的协议号 TTL TOS ID IpLen DgmLen /n

[各大安全组织关于此次攻击的详细说明]

 
starshift
关注
专栏目录
Hadoop自定义读取文件
jackydai987的专栏
03-12 3035
今天从网上看到点数据,很适合用MapReduce来分析一下。一条记录的格式如下:[**] [1:538:15] NETBIOS SMB IPC$ unicode share access [**][Classification: Generic Protocol Command Decode] [Priority: 3] 09/04-17:53:56.363811 168.150.177.165:1051 -> 168.150.177.166:139TCP TTL:128 TOS:0x0 ID:4000 I
snort.conf分析(中文)
云里雾里的专栏
04-05 1万+
snort.conf分析此文件包含一个snort配置样例。共分五步骤:1 设置你的网络变量2 配置动态加载库3 配置预处理器4 配置输出插件5 增加任意的运行时配置向导6 自定义规则集step1:设置你的网络变量1 其中针对本地网络给出3种方式:a) 清晰指定你的本地网络var HOME_NET 172.26.75.0/24(如果希望构建的Snort支持IPV6支持,则这里定义网段的类型就应该改为pvar)b) 使用全局变量 var HOME_NET $eth0_ADDRESSc) 也可一定义一个地址列表,
Snort - 配置文件
deliaodun9945的博客
09-12 988
Snort.conf 版本 2.9.8.3 编译可用选项: --enable-gre --enable-mpls --enable-targetbased --enable-ppm --enable-perfprofiling --enable-zlib --enable-active-response --enable-normalizer --enable-relo...
snort.conf 分析
weixin_34199405的博客
07-03 329
2019独角兽企业重金招聘Python工程师标准>>> ...
实验六 端口扫描攻击检测
06-26
针对内外网用户的恶意扫描检测,通过snort 的端口扫描攻击检测,初步识别攻击的源 和目的地址,进行及时防御,将威胁降到最低,更好的保护公司单位网络的安全。
如何挖掘UPnP服务漏洞-入门篇
郁离歌丶的博客
06-30 2478
本文首发于xray社区:https://mp.weixin.qq.com/s/VK5CiWa5IIiMMwf–26miA 周末测了一下屋里的几个iot设备,顺便学习了一下对于UPnP的服务如何去挖掘漏洞。这里记录一下UPnP的学习笔记。 UPnP UPnP是因特网及LAN中使用的以TCP/IP协议为基础的技术。通过无线网络上网的用户都是处于内网,为了保证一些P2P软件正常工作,开启UPnP是必须的,而目前大多数无线路由器等iot设备都具有此功能。 只要 NAT 设备(路由器)支持 UPnP,并开启。那么,当
snort-thresholds:Threshold 是映射到 Snort 2.9.x threshold.conf 文件的 ORM
06-09
Threshold 是映射到 Snort 2.9.x threshold.conf 文件的 ORM。 它目前支持通常在阈值配置中找到的所有独立 snort 过滤器。 这些包括定义的抑制、event_filters 和 。 代码状态 稳定(travis-ci 传递)标签作为...
sed -i “332 s/^include/# include/” snort.conf
06-11
这是一个Linux命令,它的作用是将snort.conf文件中第332行的"include"开头的行注释掉。 具体解释如下: - sed是一个流编辑器,-i表示直接在原文件中进行操作,"332"表示要操作的行号; - s表示替换操作,"^include...
windows下编译出的snort.exe
04-04
Snort的配置文件(通常是snort.conf)包含规则、策略和日志设置。用户需要根据自己的网络环境定制配置文件,并可能需要添加自定义规则来检测特定威胁。 7. **扩展功能**: Snort支持插件系统,可以通过VSAPI...
snort -dev -l /var/log/snort -h 192.168.252.139 -c /etc/snort/snort.conf
最新发布
08-23
- `-c /etc/snort/snort.conf`:指定 snort 的配置文件路径为 `/etc/snort/snort.conf`。 这条命令将启动 snort 并开始监听指定的网络接口,所有检测到的事件将被记录到 `/var/log/snort` 目录下的日志文件中。 请...
Linux平台下snort配置文件
06-03
压缩包里包含snort,adodb,barnayard,base,daq,jpgraph,libnet,libcap,pcre,snort一整套安装文件
网络入侵检测--Snort软件配置文件snort.conf详解
小人物的编程
11-16 5639
按照配置文件的配置步骤,详细解释了配置文件的参数
Windows搭建Snort环境及使用方式
渗透测试
08-03 1343
Snort配置及使用方式,避坑指南,window环境下
Windows下手把手教Snort的安装与配置教程
橙留香Park的博客
02-07 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Snort配置文件学习笔记
道长的博客
02-25 374
配置文件7个基本部分 1变量定义:网络、端口、规则文件路径 2配置参数: 3配置加载库: 4预处理配置: 5输出模块配置: 6定义新的动作类型 7规则配置和引用文件: 一、定义和使用变量 定义普通变量 var 定义端口变量 portvar var HOME_NET 192.168.1.0/24 引用符号"$" alert ip any any -> $ HOME_NET any (ipopts:lsrr; msg:"Loose source routing attempt"; sid:
snort的安装、配置和使用
热门推荐
不忘初心,护天下安全!
12-19 6万+
Snort 在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention Syst...
snort 日志 mysql_Snort日志输出插件详解
weixin_39984403的博客
01-19 456
Snort日志输出插件详解Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库是Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1工作模式及输出插件Snort拥有3种工作模式,分别为...
snort命令行配置参数
funtasty的专栏
12-12 1587
用法:  snort -[options] 选项:  -A 设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b    用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B 将IP地址信息抹掉,去隐私化。  -c 使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。 -d    显示包的应用层数据。  -D
snort实现入侵检测功能
tlucky的博客
10-14 6074
一、安装 概念 用snort软件打造入侵监测系统: 入侵监测系统和防火墙关系 总结:从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了IDS存在误报和漏报的情况出现。 IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全; IDS实时检测可以及时发现一些防火墙没有发现
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值