Εξοικειωθείτε με τη γενική μορφή ενός κανόνα Snort . Ένας κανόνας μοιάζει με αυτό :
πρωτόκολλο δράσης address0_IP κατεύθυνση address0_port address1_ip address1_port ( επιλογές ) 2
Αποφασίστε ποια "δράση " που θα θέλατε το κράτος να λάβει . Το πεδίο " δράσης " καθορίζει τι επιτυγχάνει πραγματικά ο κανόνας . Η " log" δράση, για παράδειγμα , απλά καταγράφει το συμβάν δικτύου . Το «σήμα» δράση στέλνει ένα μήνυμα που καθορίζεται από το αρχείο ρυθμίσεων του Snort ή στέλνει ένα μήνυμα στη γραμμή εντολών . Ανατρέξτε στην τεκμηρίωση του Snort για τον πλήρη κατάλογο των αποδεκτών ενεργειών .
Εικόνων 3
Αποφασίστε ποιο πρωτόκολλο σας, στην οποία θέλετε να εφαρμοστεί ο κανόνας . Το «πρωτόκολλο» πεδίο αυτό αναφέρεται στο πρωτόκολλο δικτύου που χρησιμοποιείται από το πακέτο δεδομένων , το οποίο μπορεί να είναι IP , ICMP , TCP ή UDP .
Η
4 Καθορίστε την κατεύθυνση του κανόνα . Η « κατεύθυνση » λέει πεδίο Snort που η διεύθυνση είναι η πηγή του πακέτου και το οποίο είναι ο προορισμός . Για παράδειγμα , τοποθετώντας την ακολουθία χαρακτήρων " - > " στο πεδίο προορισμού , " address0_IP " είναι η διεύθυνση IP προέλευσης του πακέτου δεδομένων , ενώ το " address1_IP " είναι ο προορισμός του πακέτου
5
. Γράψτε μια κανόνα Snort που προειδοποιεί το πρόγραμμα όποτε κίνηση από μια συγκεκριμένη διεύθυνση έχει εντοπιστεί. Ας υποθέσουμε ότι αυτή η κίνηση χρησιμοποιεί το πρωτόκολλο TCP και προέρχεται από τη διεύθυνση 192.168.2.99 . Χρησιμοποιώντας τη λέξη « κάθε », μπορείτε να συμπληρώσετε στο λιμάνι και τη διεύθυνση πεδία για τον προορισμό των δεδομένων . Ο ακόλουθος κανόνας Snort δημιουργεί ένα μήνυμα κάθε φορά που ανιχνεύεται κίνηση από αυτή τη διεύθυνση :
tcp συναγερμού 192.168 . 2.99 οποιοδήποτε - > οποιαδήποτε τυχόν ( msg : " . Κυκλοφορίας από 192.168 2,99 " ;)
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα