Snort Rules 编写示例
Rules的格式如下
func proto src_ip/mask src_port_range -> dst_ip/mask dst_port_range (options)
备注:
可以使用”any”作为IP地址或者Port的通配符
Rules必须单行,解析器(Parser)无法识别多行的Rules
每条Rules以封号和圆括号结束,例如”;)”
以下是Rules的例子:
- 例子一
log tcp any any -> 192.168.1.1/32 23
记录telnet traffic信息,在任意网络上从any(任意)电脑发送到具体IP地址的网络
备注:
32代表子网掩码,通常有以下2种格式的表示方法:
1. 通过与IP地址格式相同的点分十进制表示
如:255.0.0.0 或255.255.255.128
2. 在IP地址后加上”/”符号以及1-32的数字,其中1-32的数字表示子网掩码中网络标识位的长度
如:192.168.1.1/24 的子网掩码也可以表示为255.255.255.0
子网掩码一般为255.255.255.0
常用的保留TCP端口号有:
HTTP 80,FTP 20/21,Telnet 23,SMTP 25,DNS 53等
每个TCP报文头部都包含源端口号(source port)和目的端口号(destination port),用于标识和区分源端设备和目的