snort的规则定制
<DIV> snort的规则库是不断更新的,网上有最新版本的发布,snort rules分为两个部分:规则头,规则选项。规则头包含一些动作比如alert什么的,然后是数据包的协议,ip,掩码,端口。规则选项里包含要检查的数据包的内容和报警的信息内荣。</DIV><DIV>pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (flow:to_server,established;content "|2e2e5c2e2e|";)其中数字表示2进制字节码。</DIV>
<DIV>snort最重要的是对数据包内容的匹配,content中的内容。如果要定制新的规则,就要找出攻击数据包中的特征码,然后在content中包含这些特征码。可以用wireshark或者ethreal等截获数据包的工具。当然,这其中还有很多工作要做。暂且粗略分析一下。</DIV>
<DIV> </DIV>
页:
[1]