Wie man eine Snort Regelsatz erstellen

Mitglieder-Login

InformationenNetwork Security

NRCS Computer, Passwort -Anforderun… Mit dem anhaltenden Raffinesse der Hacker hat das Natural Resources Conservation Service oder NRCS ,
So deaktivieren Sie ESC Verstärkte Sicherheitskonfiguration (ESC ) ist ein Sicherheits-Tool von Microsoft Internet Explorer
Wie man einen Computer Hijacker Sto… Es gibt ernsthafte Bedrohungen für die Sicherheit Ihres Computers und der persönlichen Informationen
Definition des Sniffer -Programm Ein Sniffer -Programm ist nicht ein neuer iPod App entwickelt, um Ihnen zu sagen, wenn man genug ver

Networking

HOME

* Computer Wissen >> Networking >> Network Security >> .

Wie man eine Snort Regelsatz erstellen

Snort ist ein kostenloses Netzwerk - Intrusion-Detection - und - Prävention Anwendung für das Linux-Betriebssystem. Snort verfügt über einen eingebauten Motor , mit dem Sie Ihre eigenen Regeln mit Hilfe eines speziellen Sprache zu schreiben. Der Header und die Optionen : Snort Regeln sind aus zwei Teilen zusammengesetzt . Regeln folgen einem Grundmuster : Eine eingehende Datenpaket untersucht und geprüft, gegen den Besonderheiten der Regeln. Wenn eine Bedingung erfüllt ist, - wenn das Paket von einer bestimmten Adresse , zum Beispiel - eine Aktion ausgeführt wird . Sie können dieses Grundmuster eigene Snort-Regeln erstellen. Anleitung
1

Machen Sie sich mit der allgemeinen Form eines Snort-Regel . Eine Regel wie folgt aussieht:

Aktion Protokoll address0_IP address0_port Richtung address1_ip address1_port (Optionen)
2

Entscheiden Sie, welche " Aktion" die Regel zu nehmen möchten. Die "action "-Feld bestimmt, welche die Regel tatsächlich vollbringt . Die "log "-Aktion , zum Beispiel , einfach Aufzeichnungen der Netzwerk-Event . Der " Alarm "-Aktion sendet eine Nachricht , die von Snort der Konfigurationsdatei bestimmt wird oder sendet eine Nachricht an die Befehlszeile. Finden Sie auf der Snort Dokumentation für eine vollständige Liste der zulässigen Aktionen .
3

Entscheiden Sie, was Sie Protokoll , zu dem Sie die Regel anwenden möchten. Das Feld "Protokoll" bezieht sich auf das Netzwerk -Protokoll , das von der Datenpaket, das sein kann IP , ICMP, TCP oder UDP verwendet wird.
4

Bestimmen Sie die Richtung der Regel. Das Feld "Richtung" sagt Snort , welche Adresse die Quelle des Pakets und das ist das Ziel. Zum Beispiel , indem Sie die Zeichenfolge " ->" im Zielfeld " address0_IP " ist der Quell-IP- Adresse für das Datenpaket , während " address1_IP " ist das Ziel des Pakets
5

. schreiben Sie eine Snort-Regel , die das Programm bei jedem Datenverkehr von einer bestimmten Adresse erkannt wird alarmiert . Angenommen, dieser Verkehr verwendet das TCP-Protokoll und kommt von der Adresse 192.168.2.99 . Durch die Verwendung der Suchbegriff " jede ", können Sie in den Hafen und Adresse Felder für das Ziel der Daten zu füllen. Die folgende Snort-Regel erstellt eine Nachricht , wenn Datenverkehr von dieser Adresse erkannt :

alert tcp 192.168. 2.99 any -> any any ( msg : " . Verkehr von 192.168 2.99 " ;)