![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
规则
文章平均质量分 51
guoguangwu
这个作者很懒,什么都没留下…
展开
-
snort 源码分支之规则结构分析(三)
前面介绍了规则头数据结构分析、解析和匹配过程。接下来分析规则选项的数据结构和解析、匹配过程。/* * 规则匹选项配数据结构 */typedef struct _OptFpList{ /* context data for this test */ /* 匹配时传入的参数option_data, 例如 PatternMatchData*/ void *conte...原创 2019-03-12 20:19:35 · 941 阅读 · 1 评论 -
snort源码分析之规则结构分析(二)
上篇对照snort的规则简单介绍了一下那些规则字段接下来看一下规则头和规则选项的数据结构/* 规则头匹配函数链表*/typedef struct _RuleFpList{ /* context data for this test */ /* 目前规则头没有使用 */ void *context; /* rule check function po...原创 2019-03-10 22:53:53 · 2341 阅读 · 0 评论 -
snort 文件类型识别原理分析
snort的文件规则保存在file_magic.conf中。以pdf为例:file type:PDF; id:22; category:PDF files; msg:"PDF file "; rev:1; content:| 25 50 44 46|; offset:0; file type:PDF; id:282; category:PDF files; msg:"PDF file "; rev:1; content:| 25 50 44 46 2D 31 2E 30|; offset:0;原创 2021-05-09 14:14:16 · 932 阅读 · 0 评论 -
snort 源码分析之规则结构分析(一)
snort中比较复杂的结构很多,今天和大家分享一下snort的规则设计的数据结构:规则头和规则选项先从一条规则实例开始分析:alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...原创 2019-03-10 19:28:54 · 3344 阅读 · 3 评论 -
snort 源码分析之规则结构分析(四)
解析完一条规则后,会调用FinishPortListRule函数将该规则进行归类。归类的原则是 Finish adding the rule to the port tables 1) find the table this rule should belong to (src/dst/any-any tcp,udp,icmp,ip or nocontent) 2) fi...原创 2019-03-25 23:13:19 · 845 阅读 · 0 评论 -
snort 源码分析之规则文件解析- ipvar变量
snort的规则文件系统中包含很多配置,其中一些配置依赖于其他的配置项,使得snort规则解析分为两步,第一步解析配置的变量。例如ipvar HOME_NET any 这是一个ip变量的设置,关键字ipvar 、HOME_NET :变量名、any :变量值;定义完之后,就可以在规则中使用,例如alert tcp $EXTERNAL_NET any -> $HOME_NET $HTT...原创 2019-03-26 23:51:06 · 1155 阅读 · 0 评论 -
fwsnort 部署攻防
fwsnort是将snort规则转换成iptables规则,由于snort规则大部分是基于应用层的数据进行检测,所以使用字符串搜索、正则(pcre)等算法进行识别,所以有的规则转换会失败。先验一下iptables的字符串匹配扩展,根据下面的这篇博客,操作就能验证。https://blog.csdn.net/guoguangwu/article/details/89681820wg...原创 2019-04-30 14:58:52 · 707 阅读 · 0 评论