Snort Rules 编写示例

最新推荐文章于 2024-05-23 09:23:10 发布
最新推荐文章于 2024-05-23 09:23:10 发布
阅读量2.5k 收藏 4
点赞数 1
分类专栏: IDPS 文章标签: IDPS 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40391638/article/details/81589416
版权
本文详细介绍了Snort规则的编写格式,包括IP地址、端口号、选项等的使用,通过多个示例展示了如何记录、过滤和报警不同类型的网络活动,如telnet、HTTP、ICMP等,同时涉及了TCP标志位的含义及其在网络攻击检测中的应用。
摘要由CSDN通过智能技术生成

Snort Rules 编写示例

Rules的格式如下
func proto src_ip/mask src_port_range -> dst_ip/mask dst_port_range (options)

备注:
可以使用”any”作为IP地址或者Port的通配符
Rules必须单行,解析器(Parser)无法识别多行的Rules
每条Rules以封号和圆括号结束,例如”;)”

以下是Rules的例子:

  • 例子一
    log tcp any any -> 192.168.1.1/32 23
    记录telnet traffic信息,在任意网络上从any(任意)电脑发送到具体IP地址的网络

备注:
32代表子网掩码,通常有以下2种格式的表示方法:
1. 通过与IP地址格式相同的点分十进制表示
如:255.0.0.0 或255.255.255.128
2. 在IP地址后加上”/”符号以及1-32的数字,其中1-32的数字表示子网掩码中网络标识位的长度
如:192.168.1.1/24 的子网掩码也可以表示为255.255.255.0
子网掩码一般为255.255.255.0

常用的保留TCP端口号有:
HTTP 80,FTP 20/21,Telnet 23,SMTP 25,DNS 53等

每个TCP报文头部都包含源端口号(source port)和目的端口号(destination port),用于标识和区分源端设备和目的

最低0.47元/天 解锁文章
weixin_40391638
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort rules
10-17
好东西,snort rules
snort rule snort rules snort 规则集 2900
04-24
snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort入门
最新发布
you_get_me_there的博客
05-23 212
snort入门 rule定义入门
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重新降回了5分
snort.rules
07-11
snortrules里面!any不可用,注释即可
Snort Rules规则
qq_44465615的博客
04-27 1037
Writing Snort Rules 来源 https://paginas.fe.up.pt/~mgi98020/pgr/writing_snort_rules.htm 基础 Snort使用一种简单,轻量级的规则描述语言,该语言灵活且强力。在开发Snort规则时,需要遵守以下准则:1)首先,Snort规则必须完全包含在一行上,因为Snort规则解析器不知道如何处理多行上的规则。 Snort规则被分为两个逻辑部分,规则头和规则选项。规则头包含规则的操作、协议、源和目标IP地址和网络掩码,以及源和目标端口信息
snort rules 2956
01-13
Snort 允许扩展自定义的检测功能,通过编写 C 代码并编译为动态链接库(.so 文件)。这些规则可以提供更复杂的分析,比如模式匹配、统计分析等,增强了 Snort 的检测能力。 `rules` 文件夹则包含了标准的 Snort ...
Snort rules 2946
06-02
SO规则允许Snort使用动态库来扩展其功能,比如对于某些复杂或特定的检测,可以使用C语言编写插件,然后以动态库的形式加载。 2. **preproc_rules**:预处理规则涉及到在主规则匹配之前对数据包进行预处理的逻辑。...
Snort rules 2931
09-11
这些规则通常由 Snort 社区的专家编写,以增强 Snort 的检测能力,尤其对于新出现的攻击模式。 Snort 规则通常包括以下部分: 1. **ID**: 规则的唯一标识符,如 2931。 2. **Action**: 规则应采取的行动,如 "alert...
snort规则 snortrules-snapshot-2.8.tar.gz/snortrules-snapshot-2970.tar.gz
04-14
snort规则,内涵有两个大类,snortrules-snapshot-2.8.tar.gz/snortrules-snapshot-2970.tar.gz
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷鼻息3 社区规则的公共版本snort3-community-rules.tar。
Snort 2.9.9.0 规则库 snortrules-snapshot-2990.tar.gz
04-20
最新版本的Snort规则库
snortrules-snapshot-2980.tar.gz
01-18
snortrules-snapshot-2980.tar.gz是snort的规则包,在官网下载需要申请账号。
snortrules-snapshot-29160.tar.gz
05-15
snort官网下载的免费规则库,时间时截至2020-5-10日,最新Snort规则包,压缩包约115MB。
snortrules-snapshot-2910
12-30
snort 监控规则/linux下snort规则文件snortrules-snapshot-CURRENT.tar
Snort rules概述
Adminxe的博客
05-03 974
0x01 前言 今天看到小伙伴说面试过程中碰到面试官问Snort的规则问题,然后找了下资料,整理了一下,来做一下分享,如果涉及侵权,请联系我删除,这边只做公益分享。 0x02 Snort rules 知识总结 Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。 规则...
网络入侵检测--Snort软件规则编写
小人物的编程
11-11 6763
翻译了一下snort的规则说明部分,比较粗略,后续再更新补充一下
Snort Rules & Scapy——疯狂踩坑的第一次尝试
Coco_T的博客
03-20 5471
题目描述 write a rule in test.rules detect a tcp packet with Destination Port at 8080, TCPFLAG ACK set, a string " I am IDS Homework I " in payload [100th byte-200th byte] alert message " TEST ALERT " Snort Rules 首先我们要了解一下Snort规则 这里我只会介绍一些比较重要且题目中会涉及到的字段.
snort编写规则检测ARP攻击
04-26
好的,关于snort编写规则检测ARP攻击的问题,我给您提供以下内容: 首先,需要了解ARP攻击的原理。ARP(Address Resolution Protocol)是用于将IP地址转化为MAC地址的协议,攻击者可以伪造ARP请求和回应,欺骗网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值