Snort

  • 09 дек. 2012 г.
  • 3995 Слова
Разумные сети от BiLIM Systems
Санкт-Петербург, ул. Седова, 80, телефон (812) 449-0770, факс (812) 449-0771, E-mail: info@bilim.com

Правила Snort
Основы
Snort использует простой язык описания правил с широкими возможностями и достаточной гибкостью. Ниже приводится множество примеров, которые помогут разобраться с правилами Snort.
Большинство правил Snort записывается в одну строку. Впрежних версиях программы (до 1.8) запись правила в одну
строку была обязательной, но в современных вариантах программы допускается запись одного правила в несколько
строк, если все строки, за исключением последней, завершаются символом \.
Каждое правило Snort делятся на две части – заголовков и опции. Заголовок правила включает действие, протокол, IP-адреса и маски для отправителя и получателя, а такженомера портов отправителя и получателя. Опции правила включают
сообщение и информацию о том, какие части пакета следует проверить, чтобы определить следует ли применять по отношению к пакеты заданное действие.
Ниже показан пример простого правила Snort
alert tcp any any -> 192.168.1.0/24 111 \
(content:”|00 01 86 a5|”; msg:”mountd access”;)
Опции правила указываются в круглых скобках, слова, закоторыми следует двоеточие, являются ключевыми.
При соблюдении всех указанных в правиле условий по отношению к пакету выполняется заданное правилом действие
(генерация сигнала в приведенном примере).

Заголовок правила
Заголовок правила имеет вид


Действие
Заголовок правила содержит ключевое слово, которое определяет действие, выполняемое при совпадении всех заданных
правиломусловий. Действие всегда указывается первым и может быть одним из ключевых слов
1. alert – генерировать сигнал с использованием выбранного метода и записать информацию о пакеты в журнальный
файл;
2. log – записать информацию о пакеты в журнальный файл;
3. pass – пропустить (игнорировать) пакет;
4. activate – генерировать сигнал и активизировать другое динамическое правило;
5. dynamic – правило невыполняет никаких действий до его активации с помощью действия activate в другом правиле,
а при активации действует как log.
Можно также создавать свои типы правил (ruletype) и связывать с ними подключаемые модули (plugin), используя в
дальнейшем такие правила как действия Snort. В приведенном примере создается тип правила для записи пакетов
ruletype suspicious
{
type log
output log_tcpdump:suspicious.log
}
Во втором примере создается тип правила, который будет записывать информацию в syslog и базу данных MySQL
ruletype redalert
{
type alert
output alert_syslog: LOG_AUTH LOG_ALERT
output database: log, mysql, user=snort dbname=snort host=localhost
}

Протокол
Следующее поле заголовка указывает протокол. Snort в настоящее время различает 4 протокола - tcp, udp, icmp и ip. В
будущемпланируется включить также протоколы ARP, IGRP, GRE, OSPF, RIP, IPX и т. п.

Адреса IP
После протокола в правиле указываются адреса и номера портов для данного правила. Ключевому слову any будут соответствовать все адреса IP (0.0.0.0/0). Snort не поддерживает механизма определения адресов по именам хостов, поэтому в
правилах должны указываться адреса IP или блоки CIDR [RFC1518]. Блок CIDRпоказывает префикс сети и размер маски, которая будет применяться правилом к адресам во всех пакетах для проверки соответствия указанному префиксу.
Блок CIDR /24 указывает сеть класса C, /16 – класса B, а /32 указывает адрес отдельного хоста. Например, запись
192.168.1.0/24 будет соответствовать адресам в диапазоне 192.168.1.0 - 192.168.1.255. Нотация CIDR обеспечивает краткий и удобный способпредставления непрерывных блоков сетевых адресов.
www.bilim.com

www.protocols.ru

Разумные сети от компании BiLiM Systems
Правила Snort
Приведенному ниже правилу будут соответствовать пакеты, отправленные с любого (any) адреса в сеть класса C
192.168.1.0
alert tcp any any -> 192.168.1.0/24 111 \
(content:”|00 01 86 a5|”; msg:”mountd access”;)
Применительно к адресам...
tracking img