如何编写snort的检测规则格式: database:例子: output database:log,mysql,dbname=snort user=snort host=localhost password=xyz表33.数据库输出插件配置 6.如何建立好的snort规则 在开发高效、高速的snort规则时,有几个概念要铭记于心。
不要忘记content规则选项指定的内容是大小写敏感的,许多程序一般使用大写表示命令。FTP就是一个很好的例子。请比较下面两条规则: alert tcp any any -> 192.168.1.0/24 21 (content:"user root";msg:"FTP root login";)alert tcp any any -> 192.168.1.0/24 21 (content:"USER root";msg:"FTP root login";) 第二条规则可以使snort捕获大多数使用root用户名的自动登录企图,而在数据包中从来就没有小写的user。 snort检测引擎对各个规则选项的测试顺序与其在各条规则中所处的位置无关。在各个规则选项中,检测引擎最后测试的总是content规则选项。因此,在开发规则时,要尽量使用快速的选项筛选掉根本不必对其内容进行检查的包。例如,如果实现了一个TCP会话过程,那么在会话过程的大部分时间内,双方传输的数据包的TCP标志ACK、PSH都被置位。而测试包头的TCP标志比对数据包的内容进行模式匹配需要的计算量要小的多。所以,在开发相关的检测规则时,需要设置flags规则选项对PSH和ACK没有置位的数据包进行过滤。而这样做,增加的额外计算量微乎其微。例如: alert tcp any any -> 192.168.1.0/24 80 (content:"cgi-bin/phf";flags:PA;msg:"CGI-PHF probe";)上一篇:Linux和Solaris建立Apache的虚拟根环境 下一篇:强大的轻量级网络入侵检测系统SNORT 更多相关文章
|
推荐文章
精彩文章
|
