Snort的配置與使用PPT課件

.,1,第六章Snort的配置與使用,入侵檢測技術(shù),.,2,本章內(nèi)容,Snort的安裝與配置Snort的總體結(jié)構(gòu)分析Snort的使用Snort的規(guī)則使用Snort構(gòu)建入侵檢測系統(tǒng)實例,.,3,6.1SNORT的安裝與配置,.,4,一、Snort簡介,snort是一個用C語言編寫的開放源代碼的軟件Snort是一個跨平臺的，輕量級的網(wǎng)絡入侵軟件，基于libpcap的數(shù)據(jù)包嗅探器和日志記錄工具Snort采用基于規(guī)則的網(wǎng)絡信息搜索機制，對數(shù)據(jù)包進行內(nèi)容的模式匹配，從中發(fā)現(xiàn)入侵和探測行為。MartinRoeschSnortTeamSnort,.,5,1.Snort的組成數(shù)據(jù)包解碼器檢測引擎日志和報警子系統(tǒng),.,6,2.Snort的工作模式（3種）嗅探器數(shù)據(jù)包記錄器網(wǎng)絡入侵檢測系統(tǒng),.,7,4.Snort的工作模式（3種）嗅探器嗅探器模式僅僅是從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。./snortv./snortvd./snortvde數(shù)據(jù)包記錄器數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。./snortdevl./log,.,8,網(wǎng)絡入侵檢測系統(tǒng)網(wǎng)絡入侵檢測模式是最復雜的，而且是可配置的。用戶可以讓Snort分析網(wǎng)絡數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。./snotdevl./logcsnort.conf,.,9,二、Snort軟件的下載,下載snort入侵檢測的核心部分下載winpcap或者libpcaphttp:/winpcap.polito.it/網(wǎng)絡數(shù)據(jù)包截取驅(qū)動程序，用于從網(wǎng)卡中抓取數(shù)據(jù)包,.,10,輔助軟件：Acid（AnalysisConsoleforIntrusionDatabases）基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺ADOdb(ADOdbDatabaseAbstractionLibrary)Adodb庫為PHP提供了統(tǒng)一的數(shù)據(jù)庫連接函數(shù)ApacheWindows版本的ApacheWeb服務器JpgraphPHP所用圖形庫MysqlWindows版本的Mysql數(shù)據(jù)庫，用于存儲snrot的日志，報警，權(quán)限等信息PHPWindows中PHP腳本的支持環(huán)境,.,11,三、Windows環(huán)境下Snort的安裝,ACID+snort的入侵檢測系統(tǒng)1.搭建apache+PHP的運行環(huán)境2.安裝snort和Winpcap3.安裝MySQL4.安裝ADOdb5.安裝Jpgraph6.安裝和配置ACID7.配置和啟動snort,.,12,幾點說明,1.在snort中有一腳本create_mysql，用于建立所有必要的表。C:mysqlbinmysqlurootp（Mysql）createdatabasesnort;（Mysql）quit（c:mysqlbin）MysqlDsnorturootp）grantusageon*.*toacidloacalhostidentifiedby“acidPwd”;(mysql）grantselect,insert,update,delete,create,alteronsnort.*toacidlocalhost;,.,14,需要了解的Mysql命令：顯示數(shù)據(jù)庫列表:showdatabases;顯示庫中的數(shù)據(jù)表：usemysql;showtables;建庫與刪庫：createdatabase庫名;dropdatabase庫名;,.,15,.,16,.,17,激活和配置ACID解壓縮acid至apache安裝目錄的htdocsacid目錄下修改htdocsacid下的acid_conf.php文件DBlib_path=C:phpadodb;$DBtype=”mysql”;$alert_dbname=snort;$alert_host=localhost;$alert_port=3306;$alert_user=acid;$alert_password=acidpwd;,.,18,/*ArchiveDBconnectionparameters*/$archive_dbname=snort_archive;$archive_host=localhost;$archive_port=3306;$archive_user=acid;$archive_password=acidpwd;$ChartLib_path=”C:phpjpgraphsrc”;,.,19,:50080/acid/acid_db_setup.php,.,20,配置并啟動snort打開C:snortetcsnort.conf文件，將文件中的下列語句：includeclassification.configincludereference.config修改為絕對路徑：includeC:snortetcclassfication.configincludeC:snortetcreference.config在該文件的最后加入下面語句：目的：將日志記錄到數(shù)據(jù)庫中outputdatabase:alert,mysql,host=localhostuser=snortpassword=snortpwddbname=snortencoding=hexdetail=full,.,21,進入命令行方式，輸入下面的命令：C:snortbinsnortc“C:snortetcsnort.conf”l“C:snortlog”deXX參數(shù)：用于在數(shù)據(jù)鏈接層記錄rawpacket數(shù)據(jù)；d參數(shù)：記錄應用層的數(shù)據(jù)；e參數(shù)：顯示記錄第二層報文頭數(shù)據(jù)；c參數(shù)：用以指定snort的配置文件的路徑；i參數(shù)：指定監(jiān)視的網(wǎng)絡適配器的編號。上面的命令將啟動snort，如果snort正常運行，系統(tǒng)最后將顯示如下圖所示,.,22,.,23,.,24,.,25,四、Snort的配置,配置snort.conf文件設置網(wǎng)絡相關(guān)變量；配置預處理器；配置輸出插件；定制snort規(guī)則集。,.,26,設置網(wǎng)絡相關(guān)變量Snort.conf中的主要環(huán)境變量有：varHOME_NETany本地網(wǎng)絡varEXTERNAL_NETany外地網(wǎng)絡varDNS_SERVER$HOME_NETvarHTTP_SERVER$HOME_NETvarSQL_SERVER$HOME_NETvarTELNET_SERVER$HOME_NETvarSNMP_SERVER$HOME_NET,.,27,varHTTP_PORTS80varORACLE_PORTS1521varRULE_PATH./rules本地規(guī)則路徑,.,28,配置預處理器是在基于規(guī)則的模式匹配之前運行的模塊，通常為規(guī)則匹配進行一些前期的處理。如：IP分片重組（frag2）、TCP流重組(stream4)、各種應用層解碼等。根據(jù)需要配置，通常采用默認值.,.,29,配置輸出插件主要在報文匹配某條規(guī)則需要輸出時，調(diào)用相應的輸出插件。根據(jù)snort.conf說明進行相應配置。例：outputdatabase:log,mysql,user=westfoxdbname=detectorhost=localhostpasswordpassword=t123port=1234outputdatabase:alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full,.,30,定制snort規(guī)則集#includeinclude$RULE_PATH/local.rules,.,31,6.2Snort的總體結(jié)構(gòu)分析,Snort的模塊結(jié)構(gòu)插件機制Snort的總體流程入侵檢測流程,.,32,Snort分析,32,一、Snort總體結(jié)構(gòu)分析,Snort的模塊組成及其相互關(guān)系,.,33,二、Snort的插件機制,優(yōu)點增強可擴展性簡化編碼工作使代碼功能內(nèi)聚，模塊行強，程序相對易讀插件模塊包括預處理插件、處理插件和輸出插件3種，它們通常對應規(guī)則中的一個或幾個關(guān)鍵字，規(guī)則匹配中遇到這些關(guān)鍵字時就會激活相應的插件，以完成相應的功能。,.,34,1預處理插件它們的源文件名都是以spp_開頭的，在規(guī)則匹配（誤用檢測）之前運行，完成的功能主要分為以下幾類。模擬TCP/IP堆棧功能的插件：如IP碎片重組、TCP流重組插件。各種解碼插件：如HTTP解碼插件、Unicode解碼插件、RPC解碼插件、Telnet協(xié)商插件等。規(guī)則匹配無法進行攻擊檢測時所用的檢測插件：如端口掃描插件、Spade異常入侵檢測插件、Bo檢測插件、Arp欺騙檢測插件等。,.,35,2處理插件它們的源文件名都以sp_開頭，在規(guī)則匹配階段的ParseRuleOptions中被調(diào)用，輔助完成基于規(guī)則的匹配檢測過程。每個規(guī)則處理函數(shù)通常對應規(guī)則選項中的一個關(guān)鍵字，實現(xiàn)對這個關(guān)鍵字的解釋或輔助解釋。這些插件的主要功能如下。協(xié)議各字段的檢查，如TCPFlag，IcmpType，IcmpCode，Ttl，IpId，TcpAck，TcpSeq，Dsize，IpOption，Rpc，IcmpId，IcmpSeq，IpTos，F(xiàn)ragBits，TcpWin，IpProto和IpSame等。一些輔助功能，如Respond，Priority，PatternMatch，Session，React，Reference等，這些插件分別完成響應（關(guān)閉連接）、嚴重級別、模式匹配（內(nèi)容）、會話記錄、攻擊響應（高級的響應機制）、攻擊參考信息等功能。,.,36,3輸出插件它們的源文件名都以spo_開頭，這些插件分為日志和警告兩種類型放入兩個列表中，在規(guī)則匹配過程中和匹配結(jié)束之后調(diào)用，以便記錄日志和警告。,.,37,以一個HTTP解碼預處理器插件為例來解釋插件的內(nèi)部結(jié)構(gòu)：每個插件都有一個安裝函數(shù)，名稱為SetupXXX()，如Spp_http_decode.c：SetupHttpDecode()。在解釋規(guī)則文件時，如果檢測到相應的關(guān)鍵字，系統(tǒng)就會使用規(guī)則文件中這些關(guān)鍵字后的字符串作為參數(shù)來調(diào)用相應的初始化函數(shù)。在檢測過程中，一旦規(guī)則匹配成功，就會觸發(fā)處理函數(shù)的執(zhí)行，預處理器就會在預處理過程中對數(shù)據(jù)報調(diào)用相應處理函數(shù)進行處理。,.,38,三、Snort的總體流程,.,39,四、入侵檢測流程,規(guī)則解析流程規(guī)則匹配流程,.,40,入侵檢測流程規(guī)則解析流程,Snort規(guī)則內(nèi)存表示邏輯圖,.,41,入侵檢測流程規(guī)則匹配流程,Snort規(guī)則匹配檢測流程,.,42,.,43,.,44,.,45,.,46,6.3Snort的使用,Snort的命令行高性能的配置方式,.,47,一、Snort的命令行,Snort命令參數(shù)及作用c:snortoptions主要snort參數(shù)介紹-A設置的模式是full、fast，還是none；full模式是記錄標準的alert模式到alert文件中；fast模式只寫入時間戳、messages、IPs、ports到文件中，none模式關(guān)閉報警。-a顯示ARP包。,.,48,-b把LOG的信息包記錄為TCPDUMP格式，所有信息包都被記錄為二進制形式，這個選項對于fast記錄模式比較好，因為它不需要花費包的信息轉(zhuǎn)化為文本的時間。Snort在100Mbps網(wǎng)絡中使用“b”比較好。-c使用配置文件,這個規(guī)則文件是告訴系統(tǒng)什么樣的信息要LOG，或者要報警，或者通過。-C在信息包信息使用ASCII碼來顯示，而不是hexdump。,.,49,-d解碼應用層-D把Snort以守護進程的方法來運行，默認情況下alert記錄發(fā)送到/var/log/snort.alert文件中去。-e顯示第二層（數(shù)據(jù)鏈路層）的包頭信息。-F從文件中讀BPF過濾器（filters），這里的filters是標準的BPF格式過濾器。,.,50,-h設置網(wǎng)絡地址，如一個C類IP地址，使用這個選項，可限制數(shù)據(jù)進出的方向。-i使用網(wǎng)絡接口參數(shù)。-l:LOG信息包記錄到目錄中去。-M:發(fā)送WinPopup信息到包含文件中存在的工作站列表中去，這選項需要Samba的支持，wkstn文件很簡單，每一行只要添加包含在SMB中的主機名即可（注意不需要兩個斜杠）。,.,51,-n指定在處理個數(shù)據(jù)包后退出。-N：關(guān)閉Log記錄，但ALERT功能仍舊正常。-o改變所采用的記錄文件，如正常情況下采用AlertPassLog，而采用此選項是這樣的順序：PassAlertLog，其中Pass是那些允許通過的規(guī)則而不記錄和報警，ALERT是不允許通過的規(guī)則，LOG指LOG記錄。-p關(guān)閉雜亂模式嗅探方式，一般用來更安全的調(diào)試網(wǎng)絡。,.,52,-r讀取tcpdump方式產(chǎn)生的文件,這個方法用來得到一個Shadow(ShadowIDS產(chǎn)生)文件，因為這些文件不能用一般的EDIT來編輯查看。-sLOG:報警的記錄到syslog中去，在LINUX機器上，這些警告信息會出現(xiàn)在/var/log/secure,在其它平臺上將出現(xiàn)在/var/log/message中。-S設置變量值，這可以用來在命令行定義Snortrules文件中的變量，如要在Snortrules文件中定義變量HOME_NET,可以在命令行中給它預定義值。,.,53,-v使用為verbose模式，把信息包打印在console中，這個選項使用后會使速度很慢，這樣結(jié)果在記錄多的是時候會出現(xiàn)丟包現(xiàn)象。-V顯示SNORT版本并退出。-？顯示幫助信息。-WListsavailableinterfaces.(Win32only)以上這些參數(shù)大多可組合進行使用。,.,54,Snort入侵檢測實例1.實現(xiàn)快速嗅探在命令行輸出檢測到的IP/TCP/UDP/ICMP數(shù)據(jù)。如果想要把數(shù)據(jù)的包頭信息在命令行顯示，可以使用：c:snort-v-i2命令行中會打印出如下的數(shù)據(jù)：=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+06/09-15:01:13.84653117:61440_49:61440UDPTTL:64TOS:0 x0ID:50650IpLen:20DgmLen:64Len:36=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+,.,55,如果打開-d開關(guān)，將顯示HEX和ASCII形式的應用數(shù)據(jù)（OSI模型的第七層），命令如下：c:snort-vd-i2命令行中會打印出如下的數(shù)據(jù)：=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+05/2516:25:22.22856403:137_55:137UDPTTL:128TOS:0 x0ID:34222IpLen:20DgmLen:78Len:50B4520110000100000000000020444645.R.DFE4445434447454344414448444A444944DECDGECDADHDJDID43454644444445444245424141000020CEFDDDEDBEBAA.0001.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+,.,56,2.實現(xiàn)記錄數(shù)據(jù)包先建立一個LOG目錄，再使用下面的命令：c:snortbin-snort-de-lc:snortlog-i2注意這里少了-v選項，這意味著Snort將不在屏幕上顯示輸出信息。命令的前部分使Snort進入探測模式，它在c:snortlog目錄下為每個用戶發(fā)起的連接創(chuàng)建文件。每個文件中包含的是以ASCII格式顯示的流量信息。同時，在該目錄下，會自動生成日志文件,.,57,前面的配置創(chuàng)建了基于文本的文件，其中包含流量的解碼。利用下面的命令：c:snortbin-snort-lc:snortlog-b-i2這時命令行會進入數(shù)據(jù)包記錄界面，同時在c:snortlog目錄下會生成一個名如snort.log.1244770040的日志文件，所有的網(wǎng)絡流量將以二進制的形式記錄下來，并且以PCAP的格式寫入到該日志文件中。,.,58,這樣做的優(yōu)點：(1)允許利用開放源碼或者商業(yè)的探測器程序進行瀏覽，例如，Wireshark等。(2)允許重放Snort或者探測程序。(3)速度快，基本上Snort可以得到所有的流量并寫入到文件。,.,59,現(xiàn)在，如果想重新讀入剛剛創(chuàng)建的PCAP格式的文件，并且讓Snort像前面那個例子那樣解碼，該怎么辦呢？下面的命令可以把文件重新讀入到Snort，用于解碼：c:snortbin_snort-de-rsnort.log.1244532070另外也可以應用BPF過濾程序?qū)θ罩疚募M行過濾：c:snortbin-snort-de-Fc:filter-rsnort.log.1244532070,.,60,二、高性能的配置方式,在一個高數(shù)據(jù)流量（如大于100Mb/s）的網(wǎng)絡環(huán)境下運行snort，就需考慮如何配置snort才能使它高效率地運行，這就要求使用更快的輸出功能，產(chǎn)生更少的警告，可使用：-b,-Afast,-s等選項。,.,61,6.4Snort的規(guī)則,規(guī)則結(jié)構(gòu)規(guī)則的語法攻擊手段對應規(guī)則舉例規(guī)則的設計,.,62,一、規(guī)則的結(jié)構(gòu),snort的每條規(guī)則都可以分成邏輯上的兩個部分：規(guī)則頭規(guī)則選項規(guī)則頭包括：規(guī)則行為(rulesaction)、協(xié)議(protocol)、源/目的IP地址、子網(wǎng)掩碼以及源/目的端口。規(guī)則選項包含報警信息和異常包的信息(特征碼,signature)，使用這些特征碼來決定是否采取規(guī)則規(guī)定的行動。,.,63,alerttcpanyany-/24111(content:”|000186a5|”;msg:”mountdaccess”;),規(guī)則頭,規(guī)則選項,規(guī)則操作協(xié)議源IP源端口方向操作符目的IP目的端口,規(guī)則含義：任何使用TCP協(xié)議連接網(wǎng)絡/24中任何主機的111端口的數(shù)據(jù)包中，如果出現(xiàn)了二進制數(shù)據(jù)000186a5，便發(fā)出警告信息mountdaccess,.,64,1.規(guī)則頭（1）規(guī)則的動作alert：使用選定的報警方法產(chǎn)生報警信息，并且記錄數(shù)據(jù)包log：記錄數(shù)據(jù)包pass：忽略數(shù)據(jù)包activate：報警并激活另一條dynamic規(guī)則dynamic：保持空閑狀態(tài)，直到被activete規(guī)則激活，作為一條log規(guī)則自定義動作（ruletype）,.,65,（2）協(xié)議每條規(guī)則的第二項就是協(xié)議項。當前，snort能夠分析的協(xié)議是：IP、TCP、UDP和ICMP,.,66,（3）IP地址關(guān)鍵詞any可以用來定義任意的IP地址地址只能使用數(shù)字/CIDR的形式/24表示一個C類網(wǎng)絡；/16表示一個B類網(wǎng)絡；而/32表示一臺特定的主機地址/24表示從到55在規(guī)則中，可以使用使用否定操作符（！）對IP地址進行操作alerttcp!/24any-/24111IP地址表示：所有IP源地址不是內(nèi)部網(wǎng)絡的地址，而目的地址是內(nèi)部網(wǎng)絡地址,.,67,IP地址列表的格式IP地址1/CIDR,IP地址/CIDR,.每個IP地址之間不能有空格alerttcp!/24,.0/24any-/24,/24111（4）端口號any、靜態(tài)端口號、端口范圍（:），以及使用非操作定義例：1:1023:1024,.,68,(5)方向操作符-(6)activate和dynamic規(guī)則activates:activated_by:,.,69,2.規(guī)則選項規(guī)則選項構(gòu)成了snort入侵檢測引擎的核心在每條snort規(guī)則中，選項之間使用分號進行分割。規(guī)則選項關(guān)鍵詞和其參數(shù)之間使用冒號分割,.,70,Snort規(guī)則選項,msg：在報警和日志中打印的消息msg:;例：alerttcp$EXTERNALany-$INTERNAL79(msg:”Finger”)logto：把日志記錄到一個用戶指定的文件，而不是輸出到標準的輸出文件使用這個選項，對處理來自nmap掃描、HTTPCGI掃描的數(shù)據(jù)非常方便。注意如果使用二進制日志模式，這個選項會失效。logto:;,.,71,ttl：測試IP包頭的TTL域的值ttl:;支持和=操作符tos：測試IP包頭的TOS域的值tos:;例;alerttcp$EXTERNALany-$CISCOany(msg:”CiscoTOSExample”;tos:!”0”;),.,72,id：測試IP分組標志符(fragmentID)域是否是一個特定的值id:;ipoption：查看IP選項（IPoption)域rr:路由記錄，eof:Endoflist，nop:無操作，ts:時間戳，sec:IP安全選項，lsrr:寬松源路由，ssrr:嚴格源路由，satid:流標識符ipopts:;,.,73,fragbits：測試IP包頭的分片位R：保留位D：DF位M：MF位+ALL標志，指定的位加上任何其它的位為真*ANY標志，指定的任何位為真!NOT標志，指定的位不為真-不包含指定位例：alerttcp!$HOME_NETany-$HOME_NETany(fragbits:R+;msg:ReserverdIPbitset!;),.,74,dsize：測試數(shù)據(jù)包數(shù)據(jù)段的大小這個規(guī)則選項用來測試數(shù)據(jù)包負載的大小如果知道某個服務有一個特定大小的緩沖區(qū)，就能夠設置這個選項來捕獲制造緩沖區(qū)溢出的企圖dsize:|,.,75,flags：測試TCP標志(flag)是否是某個值F:FIN(TCP標志字節(jié)最左邊一位)S:SYNR:RSTP:PSHA:ACKU:URG2:保留位21:保留位1例：alertanyany-/24any(flags:SF;msg:PossibleSYNFINscan;),.,76,seq：測試TCP包的序列號是否是某個值seq:ack：測試TCP包的確認域是否為某個值只有一個實際的用途：檢測NMAPTCPping掃描。掃描程序nmap進行TCPping掃描時，把TCP包頭的確認號(4個字節(jié))設置為0，然后向目標主機發(fā)出TCPACK包，確定目標主機是否正在運行alertanyany-/24any(flags:A;ack:0;msg:nmapTCPping;),.,77,itype：測試ICMP數(shù)據(jù)包的類型(type)域拒絕服務和淹沒攻擊的數(shù)據(jù)包有時使用無效的ICMP類型，可以使用這個規(guī)則選項對無效的ICMP類型進行檢測，也就是說，這個規(guī)則選項中的值可以不是正常的數(shù)值itype:icode：測試ICMP數(shù)據(jù)包的編碼(code)域icode規(guī)則選項和itype非常相似，也是使用數(shù)字進行設置icode:,.,78,icmp_id：測試ICMP回送包的標志符(ICMPECHOID)是否為某個值icmp_id:icmp_seq:檢測ICMP回送包的序列號的值因為一些隱秘通道程序在通訊時使用靜態(tài)的ICMP域。icmp_seq:,.,79,content：在數(shù)據(jù)包的數(shù)據(jù)段中搜索模式進行比較的數(shù)據(jù)中可以包含二進制數(shù)據(jù):|000186a5|/bin/sh;content:;alerttcpanyany-/24143(content:“|90c8c0ffffff|/bin/sh”；msg:IMAPbufferoverflow);“|”。管道符號,.,80,offset：調(diào)整content選項，設置開始搜索的偏移量depth：調(diào)整content選項，設置搜索最大深度alerttcpanyany-/2480(content:cgi-bin/phf;offset:3;depth:22;msg:CGI-PHFaccess;),.,81,nocase：大小寫不敏感匹配內(nèi)容字符串nocase;alerttcpanyany-/2421(content:USERroot;nocase;msg:FTProotloginattempt;),.,82,session：對一個指定的會話記錄其應用層信息觀察用戶在telnet、rlogin、ftp，甚至WEB會話過程中輸入了什么，就可以使用這個規(guī)則選項session規(guī)則選項有兩個參數(shù)關(guān)鍵詞:printable、all。logtcpanyany/2423(session:printable;),.,83,content-list：在數(shù)據(jù)包的數(shù)據(jù)段中搜索模式清單使用content-list關(guān)鍵詞可以指定更多的正文字符串，突破了content規(guī)則選項只能指定單一字符串的限制。每個要搜索的字符串占一行。這個規(guī)則選項是使用react關(guān)鍵詞的基礎content-list:;#adultsitespornadultshardcore#.,.,84,react：激活反應措施(阻塞WEB站點)基本的反應就是阻塞用戶要訪問的站點，例如色情站點block：關(guān)閉連接并發(fā)出注意信息warn：發(fā)出警告信息msg：定義要包含在警告信息中的文本proxy:：使用代理服務器端口發(fā)送警告信息可選參數(shù)使用逗號分開，react關(guān)鍵詞應該放在所有選項的最后react:alerttcpanyany/2480(content-list:“adults”;msg:“Notforchildren!”;react:block，msg;),.,85,rpc：觀察RPC服務對特定應用程序的調(diào)用規(guī)則選項rpc可以使snort觀察RPC請求，并且自動對應用程序、過程、程序版本進行解碼。只有這三個變量都匹配時，才算成功。統(tǒng)配符*可以用來代替過程和版本號alerttcpanyany-/24111(rpc:100000,*,3;msg:RPCgetport(TCP);),.,86,resp：激活反應措施(斷開連接等)對于匹配某個規(guī)則的數(shù)據(jù)包，可以通過resp關(guān)鍵詞使snort的靈活反應機制生效。使用FlexResp插件，snort能夠主動斷開惡意連接rst_snd：向發(fā)送方套接字發(fā)送TCP-RST數(shù)據(jù)包rst_rcv：向接受方套接字發(fā)送TCP-RST數(shù)據(jù)包rst_all：在兩個方向上發(fā)送TCP-TST數(shù)據(jù)包icmp_net：向發(fā)送方發(fā)送ICMP_NET_UNREACH數(shù)據(jù)包icmp_host：向發(fā)送方發(fā)送ICMP_HOST_UNREACH數(shù)據(jù)包icmp_port：向發(fā)送方發(fā)送ICMP_PORT_UNREACH數(shù)據(jù)包icmp_all：向發(fā)送方發(fā)送以上各種類型的ICMP數(shù)據(jù)包多個參數(shù)可以結(jié)合使用，各個參數(shù)之間使用逗號隔開。,.,87,alerttcpanyany-/241524(flags:S;resp:rst_all;msg:Rootshellbackdoorattempt;)alertudpanyany-.0/31(resp:icmp_port,icmp_host;msg:HackersParadiseaccessattempt;),.,88,uricontent：在特定的URL字段域內(nèi)搜索特定模式；flow：指定網(wǎng)絡TCP數(shù)據(jù)流的方向，例如從服務器發(fā)出或是客戶端發(fā)出；flow：to_serverto_client.,.,89,其他Snort規(guī)則選項,reference:外部參考idsid:snort的規(guī)則idrev:規(guī)則的修正號classtype:規(guī)則的分類號priority:規(guī)則的優(yōu)先級tag:高級記錄動作ip_proto:ip頭的協(xié)議值sameip:源地址和目標地址相同stateless:無狀態(tài)連接regex:通配符模式匹配,.,90,二、規(guī)則的語法,規(guī)則分類存放在規(guī)則文件中規(guī)則文件是文本文件“類名.rules”,在snort.conf文件類激活。規(guī)則要在一行內(nèi)寫完注釋行使用#開頭,.,91,規(guī)則中使用變量名的定義變量的定義格式：var例：varMY_NET/24alerttcpanyany-$MY_NETany(flags:S;msg:”SYNPacket”),.,92,說明：1)$name或$(name)：用name的內(nèi)容替換變量name2)$(name:-default)：如果name沒有定義就使用default的內(nèi)容替換變量4)$(name:?message)：使用變量name的內(nèi)容替換變量，如果不成功就打印錯誤信息message并退出。例：varMY_NET$(MY_NET:-/24)logtcpanyany-$(MY_NET:?MY_NETisundefined!)23,.,93,include例：include$RULE_PATH/local.rules#include$RULE_PATH/ftp.rules,.,94,三、攻擊手段對應規(guī)則舉例,實例1：IIS發(fā)布之初，附帶的例子網(wǎng)頁存在漏洞特點：保存在Web根目錄下的/site/iisamples目錄下。alerttcp$EXTERNAL_NETany-$HTTP_SERVER80(msg:”WEB_IISsite/iisamplesaccess”;flag:A+;uricontent:”/site/iisamples”;nocase;classtype:attemped-recon;sid:1046;rev:1;),.,95,實例2：紅色代碼的一個變種CodeRed。特點利用MSIndexServer（.ida/.idq）ISAPI擴展遠程溢出漏洞（MS01-033）alerttcp$EXTERNALany-$INTERNAL80(msg:”IDS552/web-iis_IISISAPIOverflowids”;dsize:239;flags:A+;uricontent:”.ida?”;classtype:system-or-info-attempt;reference:arachnids,552;),.,96,規(guī)則的更新,經(jīng)常訪問snort的官方網(wǎng)站,更新它所發(fā)布的規(guī)則。加入snort的郵件列表,.,97,四、規(guī)則的設計,根據(jù)網(wǎng)絡的安全策略定制自己的規(guī)則對付新的攻擊自己動手寫好的規(guī)則加速含有內(nèi)容選項的規(guī)則,.,98,修改已存在的規(guī)則假設某機構(gòu)中只有一臺IIS服務器，管理員想修改相關(guān)規(guī)則使它僅僅應用在這臺服務器上，而不是用在每臺web服務器上，一開始你可能想修改snort-sigs郵件列表的后綴為.htrchunked的編碼規(guī)則，這條規(guī)則如下：,.,99,alerttcp$EXTERNAL_NETany-$HTTP_SERVER$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;uricontent:”.htr”;classtype:web-application-attack;rev:1)alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;uricontent:”.htr”;classtype:web-application-attack;rev:2),.,100,alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;flow:to_server,establish;uricontent:”.htr”;classtype:web-application-attack;rev:3),.,101,POST/EEYE.htrHTTP/1.1Host:Transfer-Encoding:chunked20XXXXXXXXXXXXXXXXXXXXXXXXEEYE20020EnterEnter,.,102,alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;flow:to_server,establish;uricontent:”.htr”;content:”Transfer-Encoding:”;content:”chunked”;classtype:web-application-attack;rev:4),.,103,alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;flow:to_server,establish;uricontent:”.htr”;content:”Transfer-Encoding:”;content:”chunkd”;nocase;classtype:web-application-attack;rev:5),.,104,一些規(guī)則使用的例子,（1）記錄所有登錄到一個特定主機的數(shù)據(jù)包：logtcpanyany-/3223（2）在第一條的基礎上記錄了雙向的流量：logtcpanyany/3223（3）這一條規(guī)則記錄了所有到達你的本地主機的icmp數(shù)據(jù)包：logicmpanyany-/24any,.,105,（4）這條規(guī)則允許雙向的從你的機子到其他站點的http包：passtcpany80/24any（5）這條告警規(guī)則顯示了本地主機對其他主機的111端口的