您好,很高興為您解答。
在規則集文件(snort.conf)後面添加壹些簡單的規則:
.alert?ip?any?any?->?any?any?(msg:"Got?an?IP?Packet";?classtype:not-suspicious;sid:2000000;?rev:1;)?.alert?icmp?any?any?->?any?any?(msg:"Got?an?ICMP?Packet";?classtype:not-suspicious;
sid:2000001;?rev:1;)?.alert?icmp?any?any?->?any?any?(msg:"ICMP?Large?ICMP?Packet";?dsize:>800;
reference:arachnids,246;?classtype:bad-unknown;?sid:2000499;?rev:4;)
前面兩個規則分別在捕獲任何IP數據包和ICMP數據包的時候產生壹個告警。它們在遇到每壹個數據包的時候都觸發告警,所以在數據流量很大的網絡段不適合使用這些規則。最後壹個規則是對499號簽名ID的拷貝進行修改以放寬產生告警的門限來滿足我們的測試目的正常情況下妳應該避免放寬告警門限,因為這樣會產生很多的誤告警。
最後,Snort還有壹個測試功能選項(“-T”),它可以輕松地檢測到用戶批準的配置變更。可以輸入命令“snort -c /etc/snort/snort.conf -T”,然後查看輸出來判斷變化的配置是否工作正常。如果工作正常,Snort將返回0,反之返回1。可以使用下面兩條命令來示範壹下:在Linux系統下snort -c /etc/snort/snort.conf -T和echo "Return code: $?",Windows系統下snort -c ./Snort.conf -T和echo Return code: %ERRORLEVEL%。
由於通常情況下系統會運行幾個Snort的拷貝,所以可以讓壹個Snort實例進行監視,而在另壹個上修改配置並進行測試,壹旦配置測試完成以後,就可以停止監視Snort實例,然後立即重新啟動Snort來執行改變的配置。
壹些老式的規則使用傳輸控制協議報頭標誌來判斷某個數據包是否屬於壹個已建立的傳輸控制協議會話連接。而新式的規則使用“established”關鍵字來判斷不管是哪種規則,都不可能僅僅使用Netcat從線路上提取期望的傳輸控制協議數據包中的有效載荷,並使用Snort去“檢查”這些有效載荷——因為在相應的規則下,這些載荷必須作為已建立的傳輸控制協議會話的壹部分,Snort才能夠檢查並觸發告警。“established”關鍵字能夠有效地減少誤告警,但是在測試Snort的時候效果不好,這就是我們使用網間控制報文協議或上面的自定義規則的原因。
如若滿意,請點擊右側采納答案,如若還有問題,請點擊追問
希望我的回答對您有所幫助,望采納!
~?O(∩_∩)O~