Snort Rules规则

最新推荐文章于 2024-07-30 14:25:53 发布
最新推荐文章于 2024-07-30 14:25:53 发布
阅读量1k 收藏 6
点赞数 1
文章标签: 网络 运维 linux snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44465615/article/details/124439900
版权

Writing Snort Rules

来源
https://paginas.fe.up.pt/~mgi98020/pgr/writing_snort_rules.htm

基础

Snort使用一种简单,轻量级的规则描述语言,该语言灵活且强力。在开发Snort规则时,需要遵守以下准则:1)首先,Snort规则必须完全包含在一行上,因为Snort规则解析器不知道如何处理多行上的规则。
Snort规则被分为两个逻辑部分,规则头和规则选项。规则头包含规则的操作、协议、源和目标IP地址和网络掩码,以及源和目标端口信息。规则选项部分包含警报消息和关于应该检查数据包的哪些部分,以确定是否应该采取规则操作的信息。
例如

alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd access";)

第一个括号之前的文本是规则头,括号中包含的部分是规则选项。规则选项部分中冒号前的单词称为选项关键字。值得注意的是,规则选项部分并不是任何规则特别要求的,它们只是为了定义更严格的数据包来收集或警告(或删除) 。组成规则的所有元素都必须真实有效,才能采取所指示的规则动作。同时,可以考虑在一个Snort规则库文件中的各种规则来形成一个大的逻辑OR语句。首先来看规则头部分。
Includes
incuce关键字允许将其他规则文件包含在Snort命令行中指示的规则文件中。它的工作原理类似于C编程语言中的“#include”,读取命名文件的内容,并将它们放在文件中包含出现的位置。
规范

include: <include file path/name>

请注意,在这一行的末尾没有分号。所包含的文件将把任何预定义的变量值替换为它们自己的变量引用。更多相关信息,请参见Snort规则文件中定义和使用变量的Variables section 。

Variables
变量可以在Snort中定义。这些都是用var关键字设置的简单替换变量。

var: <name> <value>
var MY_NET [192.168.1.0/24,10.1.1.0/24]
alert tcp any any -> $MY_NET any (flags: S; msg: "SYN packet";)

规则变量名称可以通过数种方式进行修改。可以使用“$”操作符来定义元变量。该关键字可以与修饰符‘ ?’和 ‘ - ’ 一起使用。

$var - define meta variable
$(var) - replace with the contents of variable "var"
$(var:-default) - replace with the contents of the variable "var" or with "default" if "var" is undefined.
$(var:?message) - replace with the contents of variable "var" or print out the error message "message" and exit

规则头

规则动作:

规则头包含定义包的“谁、在哪里、做什么”的信息,以及当出现符合规则中指示的数据包时该如何响应。规则中的第一项是规则动作。规则动作会告诉Snort在找到符合规则条件的数据包时要做什么。这里有五种可用的默认操作:alert, log, pass, activate, 和 dynamic。

  • alert - 使用所选的警报方法生成一个警报,然后记录该数据包
  • log - 记录包
  • pass - 忽略包
  • activate - 发出警报,然后打开另一个动态规则
  • dynamic - 保持空闲,直到被激活规则激活,然后充当日志规则
    您还可以定义您自己的规则类型,并将一个或多个输出插件与它们关联起来。然后,您可以将规则类型作为Snort规则中的操作使用。
这个示例将创建一个类型,其日志仅为tcpdump:
ruletype suspicious
{
   type log
   output log_tcpdump: suspicious.log
}

Protocols:
规则中的下一个字段是协议。Snort目前正在分析的有三种IP协议的可疑行为:tcp、udp和icmp。

IP Addresses:
规则标头的下一部分将处理给定规则的IP地址和端口信息。关键字“any”可以用来定义任何地址。Snort没有为规则文件中的IP地址字段提供主机名查找的机制。这些地址由一个直接的数字IP地址和一个CIDR块组成。CIDR块指示应该应用于规则的地址和根据规则进行测试的任何传入数据包的网络掩码。例如,地址/CIDR组合192.168.1.0/24将表示从192.168.1.1到192.168.1.255的地址块。任何使用此指定的规则,例如目标地址,都将与该范围内的任何地址相匹配。CIDR名称为我们提供了一种很好的短写方法来用几个字符指定大地址空间。
有一个运算符可以应用于IP地址,即否定运算符。此操作符告诉Snort匹配除了列出的IP地址所指示的地址以外的任何IP地址。否定运算符用 “ ! ” 表示。例如,对初始示例的一个简单修改是让它对来自本地网络之外的任何流量发出警报。

alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content: "|00 01 86 a5|"; msg: "external mountd access";)
此规则的IP地址表示“任何具有源IP地址不是来自内部网络和内部网络上的目标地址的tcp数据包”。

Port Numbers:
端口号可以通过多种方式指定,包括“任何”端口、静态端口定义、范围和否定方式。任何“端口都是通配符值,字面意思是任何端口。静态端口 由单个端口号表示,如端口映射器111,telnet23,或http80等。端口范围用范围操作符“:”表示。范围运算符可以应用 关于获取不同含义的方法,如下所示。

  • log udp any any -> 192.168.1.0/24 1:1024
    日志来自从1到1024的任何端口和目的地端口的udp流量
  • log tcp any any -> 192.168.1.0/24 :6000
    记录从任何端口转到小于或等于6000的端口的tcp流量
  • log tcp any :1024 -> 192.168.1.0/24 500:
    记录从小于或等于1024的私有端口发送到大于或等于500的端口的tcp流量

端口否定是通过使用否定运算符 " ! "。否定运算符可以应用于任何其他规则类型(除了任何规则,这将转换为无,如何Zen…)

log tcp any any -> 192.168.1.0/24 !6000:6010

The Direction Operator
方向操作符“->”表示该规则适用的流量的方向或“方向”。方向操作符左侧的IP地址和端口号为边界 d为来自源主机的流量,操作员右侧的地址和端口信息为目标主机。还有一个双向运算符,即籼稻 带有“<>”符号。这告诉Snort要考虑源方向或目标方向上的地址/端口对。这对于记录/分析对话的双方都很方便,例如 Telnet或POP3会话。

log !192.168.1.0/24 any <> 192.168.1.0/24 23

规则选项

规则选项构成了Snort入侵检测引擎的核心,结合了易用性、功能和灵活性。所有的Snort规则选项都使用分号“;”字符相互分隔 cter.规则选项关键字用冒号分隔“:”字符。目前有15个规则选项关键字:

  • msg - 打印警告和包日志信息
  • logto - 将数据包记录到用户指定的文件名中,而不是记录在标准的输出文件中
  • ttl - 测试IP标头的TTL字段值
  • tos - 测试IP标头的TOS字段值
  • id - 测试IP头的片段ID字段
  • ipoption - 查看IP选项字段中的特定代码
  • fragbits - 测试IP报头的分片位
  • dsize - 根据一个值来测试数据包的有效负载大小
  • flags - 测试TCP标志的内容
  • seq - 测试特定值的TCP序列号字段
  • ack - 测试TCP的ACK域
  • itype - 根据特定的值测试ICMP类型字段
  • icode - test the ICMP code field against a specific value
  • icmp_id - test the ICMP ECHO ID field against a specific value
  • icmp_seq - test the ICMP ECHO sequence number against a specific value
  • content - search for a pattern in the packet’s payload
  • content-list - search for a set of patterns in the packet’s payload
  • offset - modifier for the content option, sets the offset to begin attempting a pattern match
  • depth - modifier for the content option, sets the maximum search depth for a pattern match attempt
  • nocase - match the preceeding content string with case insensitivity
  • session - dumps the application layer information for a given session
  • rpc - watch RPC services for specific application/proceedure calls
  • resp - active response (knock down connections, etc)
  • react - active response (block web sites)
夏荷影
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Snort Rules 编写示例
weixin_40391638的博客
08-15 2519
Snort Rules 编写示例 Rules的格式如下 func proto src_ip/mask src_port_range -&amp;gt; dst_ip/mask dst_port_range (options) 备注: 可以使用”any”作为IP地址或者Port的通配符 Rules必须单行,解析器(Parser)无法识别多行的Rules 每条Rules以封号和圆括号结束,例如...
Snort rules概述
Adminxe的博客
05-03 969
0x01 前言 今天看到小伙伴说面试过程中碰到面试官问Snort规则问题,然后找了下资料,整理了一下,来做一下分享,如果涉及侵权,请联系我删除,这边只做公益分享。 0x02 Snort rules 知识总结 Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。 规则...
入侵检测IDS学习--snort规则
程序狗的成长之路
07-24 5613
1.入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类, 第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等; 第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等; 第三类是规则匹配后的动作选项,比如:msg、resp、react、session、l
Snort规则编写
goldfish8848的博客
05-11 1184
HTTP_PORTS 是一个可选的变量,表示你想要监控的端口范围,但在此场景下,由于NULL扫描是针对任意端口的,所以你可能需要自定义一个端口范围或简单地使用any。如果端口开放,目标主机会回应一个SYN-ACK包,但扫描者通常不会回应这个包,因为它只是想要检测端口是否开放,而不是建立连接。扫描者发送一个TCP SYN包到目标主机的某个端口,但不设置任何TCP标志位(即flag为NULL)。seq:0 和 ack:0 表示只匹配序列号(seq)和确认号(ack)都为0的TCP包。
Snort Rules——使用pcre进行规则匹配
Coco_T的博客
03-27 3000
题目描述 if snort see two packets in a TCP flow with first packet has " login " or " Initial " in payload, destination port is 3399; and second packet has a " IPv4Address:Port " string (E.g.123.45.6.7:8080) in payload. destination port is 3399; output a aler.
网络入侵检测--Snort软件规则编写
小人物的编程
11-11 6724
翻译了一下snort规则说明部分,比较粗略,后续再更新补充一下
动手写snort规则 debian下载及配置snort
weixin_51491521的博客
03-20 456
完美的Ubuntu+snort学习安装指南,是后续良好开发习惯的基石
Snort规则
Ghost
06-08 1043
Snort规则分为两个部分:规则的头部和规则选项。首先,规则头部包含着规则、动作、协议、源地址和目标地址、源端口、目标端口。第二部分是规则选项,它包含着一个警告消息和某数据包有关部分的信息(如果要采取某个动作的话,就应当看一些这种信息)。 例如:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "moun
Snort搭建以及规则编写
xhscxj的博客
11-21 4008
它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中。我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐。
Snort Rules & Scapy——疯狂踩坑的第一次尝试
Coco_T的博客
03-20 5458
题目描述 write a rule in test.rules detect a tcp packet with Destination Port at 8080, TCPFLAG ACK set, a string " I am IDS Homework I " in payload [100th byte-200th byte] alert message " TEST ALERT " Snort Rules 首先我们要了解一下Snort规则 这里我只会介绍一些比较重要且题目中会涉及到的字段.
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort rules 2853 snort规则
10-13
2. **so_rules**:这些是动态链接库(SO)规则,它们允许Snort以插件的形式加载额外的检测功能。这些规则通常包含用C语言编写的代码,提供了更高效和复杂的检测机制,比如对特定协议的深度解析或异常行为检测。 3. ...
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。... 社区规则的公共版本snort3-community-rules.tar。
入侵检测系统Snort v2.9-community-rules.tar.gz规则文件
12-09
1. **解压文件**:首先,你需要解压`community-rules.tar.gz`到Snort规则目录。 2. **编辑配置**:在Snort的配置文件(通常是`snort.conf`)中,需要指定新规则的位置。 3. **测试运行**:在生产环境中应用新的...
网络安全在2024好入行吗?
2401_84466225的博客
07-29 625
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
保护国外使用代理IP的安全方法
iphttp的博客
07-30 397
用户在国外使用代理IP时,应该时刻保持警惕,不要随意点击可疑链接,养成良好的网络安全意识。此外,用户还应该避免在代理服务器上输入敏感信息,如银行账号、密码等。使用代理IP时,用户应该尽量使用加密协议(如SSL、TLS)来保护数据传输的安全。这将确保用户的个人信息和访问记录不会被黑客窃取或监控。在选择代理服务器时,用户应该选择那些经过验证和信任的服务器,如知名的VPN服务提供商。用户应该定期更新操作系统和软件,以确保其安全性。这样可以有效地防止黑客通过代理服务器攻击用户的计算机或移动设备。
使用 WebSocket 实现实时聊天
weixin_44976692的博客
07-28 922
在现代网络应用中,实时聊天功能已经成为用户体验的重要组成部分。无论是社交媒体平台、在线客服系统还是多人在线游戏,实时聊天功能都为用户提供了即时沟通的便利。实现实时聊天的技术有很多种,其中 WebSocket 是最受欢迎和高效的解决方案之一。本文将介绍如何使用 WebSocket 实现一个简单的实时聊天应用,包括 WebSocket 的基本概念、服务端和客户端的实现、以及一些可能的优化和扩展。WebSocket 是一种在单个 TCP 连接上进行全双工、双向交互的协议。
TCP和UDP协议的区别以及原理
最新发布
2301_78276982的博客
07-30 828
该文章是看了很多的网上的博主写的关于TCP和UDP做的总结,我呢也想着关于自己的想法,带大家重新认知了一下TCP和UDP的原理以及区别,做一个简单的梳理和总结,希望能给予你们一些启发。
snort规则文件进行应用
06-01
Snort规则文件是一组指令,用于告诉Snort如何检测网络流量中的攻击。以下是对Snort规则文件进行应用的基本步骤: 1. 编写规则:使用规则语言编写规则规则通常包括三个部分:头部、选项、内容。头部包含了规则的动作(如alert)、协议(如TCP、UDP)、源IP和目标IP等信息。选项包含了规则的详细内容(如检测的攻击类型、特征等),内容则是规则要匹配的数据。 2. 存储规则:将编写好的规则存储在Snort规则文件中,通常是在/etc/snort/rules目录下,也可以在Snort配置文件中指定其他路径。 3. 配置Snort:在Snort配置文件中指定规则文件的路径,例如: ``` include /etc/snort/rules/myrules.rules ``` 4. 重启Snort:在修改了Snort配置文件后,需要重启Snort以使其加载新的配置。可以使用以下命令重启Snort: ``` sudo systemctl restart snort ``` 5. 监视网络流量:Snort会监视指定的网络接口,并对流经该接口的数据包进行分析。如果检测到匹配规则的流量,Snort会发出警报。 需要注意的是,Snort规则文件需要根据实际情况进行编写和调整,以便更好地检测网络攻击。此外,规则文件的数量和复杂度也会影响Snort的性能,因此需要根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值