懂snort技术的近来一下,帮帮小弟的忙.

jsb2841

我最近在编写snort 的规则,需要看懂snort截获的数据包才能正确的编写,可小弟对此不太在行,请各位高手大哥帮帮忙,小弟先谢过了.(如果有下载的地方就请给小弟个地址,小弟感激不尽)我给下面两个例子,不知各位能否看懂:
例1:12/29-10:56:32.097826 10.1.2.109:137 ->; 10.1.2.255:137
UDP TTL:128 TOS:0x0 ID:28676 IpLen:20 DgmLen:78
Len: 50
B1 6A 01 10 00 01 00 00 00 00 00 00 20 46 46 46  .j.......... FFF
41 43 4F 46 47 45 42 45 48 45 42 45 42 43 4F 45  ACOFGEBEHEBEBCOE
44 45 50 45 4E 43 41 43 41 43 41 41 41 00 00 20  DEPENCACACAAA..
00 01                                            ..
例2:12/29-10:56:28.910479 10.1.2.174:138 ->; 10.1.2.255:138
UDP TTL:128 TOS:0x0 ID:14945 IpLen:20 DgmLen:229
Len: 201
11 0E 80 96 0A 01 02 AE 00 8A 00 BB 00 00 20 45  .............. E
49 45 42 45 4F 46 4B 45 49 45 46 45 4F 46 4A 46    IEBEOFKEIEFEOFJF
46 43 41 43 41 43 41 43 41 43 41 43 41 43 41 00  FCACACACACACACA.
20 46 49 46 49 45 44 45 42 46 45 46 47 43 41 43   FIFIEDEBFEFGCAC
41 43 41 43 41 43 41 43 41 43 41 43 41 43 41 42  ACACACACACACACAB
4E 00 FF 53 4D 42 25 00 00 00 00 00 00 00 00 00  N..SMB%.........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00 00 11 00 00 21 00 00 00 00 00 00 00 00 00 E8  .....!..........
03 00 00 00 00 00 00 00 00 21 00 56 00 03 00 01  .........!.V....
00 00 00 02 00 32 00 5C 4D 41 49 4C 53 4C 4F 54  .....2.\MAILSLOT
5C 42 52 4F 57 53 45 00 01 00 80 FC 0A 00 48 41  \BROWSE.......HA
4E 5A 48 45 4E 59 55 00 00 00 00 00 00 00 05 00  NZHENYU.........
03 12 01 00 0F 01 55 AA 00                       ......U..
这些代码是什么意思,如果编写snort规则,那么其中的那些信息对我有用?

天涯明月刀

刚好有个搞原创的兄弟，让他帮你看看

jsb2841

多谢大哥了,如果他有这方面的文章,麻烦大哥给小弟要一些来,小弟多谢了大哥了.

急不通

12/29-10:56:32.097826 10.1.2.109:137 ->; 10.1.2.255:137
UDP TTL:128 TOS:0x0 ID:28676 IpLen:20 DgmLen:78
Len: 50
＝＝＝＝＝＝＝＝＝＝＝＝＝＝
这部分是从包头部提取的特征数据，时间；源ip:源端口—>;目的ip:目的端口；协议类型；TTL值；TOS值；数据包大小，载荷大小等等

后面应该是此包的数据净载荷的内容
要想搞懂这些数据的意义，至少先要把L3、L4层的TCP/IP协议搞清楚，想要自己写好规则，还要了解很多东西，比如应用层协议、攻击原理什么的。
－－－－－－－－－－－－
见笑了，本人也只是知道些皮毛

siyu_yangyang

小弟，最近在做创建snort的三维链表，我的是snort-1.2.1，我想问一下，就是snort已经把所有从配置文件里面的数据已经提取出来了，存到链表里了，但是snort好像并没有用链表里的数据，是不是小弟没有看到！请大侠们多多指点！