snort的规则定制

xsw_usa

    snort的规则库是不断更新的，网上有最新版本的发布，snort rules分为两个部分：规则头，规则选项。规则头包含一些动作比如alert什么的，然后是数据包的协议，ip，掩码，端口。规则选项里包含要检查的数据包的内容和报警的信息内荣。

pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (flow:to_server,established;content "|2e2e5c2e2e|";)其中数字表示2进制字节码。

snort最重要的是对数据包内容的匹配，content中的内容。如果要定制新的规则，就要找出攻击数据包中的特征码，然后在content中包含这些特征码。可以用wireshark或者ethreal等截获数据包的工具。当然，这其中还有很多工作要做。暂且粗略分析一下。