Snort is een gratis netwerk - inbraak - detectie - en - preventie applicatie voor het Linux-besturingssysteem . Snort is voorzien van een ingebouwde motor die u toelaat om uw eigen regels met behulp van een gespecialiseerde taal te schrijven . Snort regels zijn samengesteld uit twee delen : de header en de opties . Regels volgen een basispatroon : Een inbound datapakket wordt onderzocht en getoetst aan de specifieke kenmerken van de regels . Als een voorwaarde wordt voldaan - of het pakket uit een specifiek adres , bijvoorbeeld - een actie wordt ondernomen . U kunt dit basispatroon gebruiken om uw eigen Snort regels te creëren . Instructies 1 uzelf vertrouwd met de algemene vorm van een Snort regel. Een regel ziet er zo uit : actie protocol address0_IP address0_port richting address1_ip address1_port ( opties ) kopen van 2 Bepaal welke "actie" u de regel te nemen wensen . Het veld " actie" bepaalt wat de regel daadwerkelijk volbrengt . De " log " actie , bijvoorbeeld , heeft slechts tot het netwerk event . De " alert" actie stuurt een bericht dat wordt bepaald door Snort 's configuratiebestand of stuurt een bericht naar de command line . Raadpleeg de Snort documentatie voor een volledige lijst van aanvaardbare acties . 3 Beslis welk protocol u waaraan u de regel wilt toepassen wensen . Het veld " protocol " verwijst naar het netwerk protocol dat wordt gebruikt door het datapakket , dat kan IP , ICMP , TCP of UDP . 4 Bepaal de richting van de regel. Het veld " richting " geeft Snort welk adres de bron van het pakket en die de bestemming . Bijvoorbeeld door het plaatsen van de tekenreeks " - > " in het veld bestemming , " address0_IP " is de bron IP-adres voor het datapakket , terwijl " address1_IP " is bestemming van het pakket 5 . Schrijf een Snort regel dat het programma wanneer het verkeer vanaf een specifiek adres wordt gedetecteerd waarschuwt . Stel dat dit verkeer maakt gebruik van het TCP-protocol en is afkomstig van het adres 192.168.2.99 . Door het gebruik van het trefwoord " alle ", kunt u in de haven en adresvelden voor de bestemming van de gegevens in te vullen . De volgende Snort regel creëert een bericht wanneer het verkeer wordt gedetecteerd vanaf dit adres: alert tcp 192.168 . 2.99 elk - > elke eventuele ( msg : " . Verkeer van 192.168 2.99 " ;)
|