Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Zoznámte sa s všeobecnou formu vlády Snort . Pravidlo vyzerá tohle :
akcie protokol address0_IP smer address0_port address1_ip address1_port ( možnosti )
2
Rozhodnite sa , ktoré " akcia " chcete, aby pravidlo prijať . Pole " akcie " určuje , čo vláda skutočne dosiahne . Akcia " log " , napríklad , jednoducho zaznamenáva udalosti v sieti . " Upozornenie " akcie odošle správu , ktorá je určená konfiguračnom súbore Snort , alebo pošle správu do príkazového riadku . Nájdete v dokumentácii k Snort Úplný zoznam prijateľných opatrení .
3
Rozhodnite sa , čo protokol , do ktorého chcete pravidlo použiť . Pole " Protokol " odkazuje na sieťový protokol , ktorý je používaný u dátového paketu , ktorý môže byť IP , ICMP , TCP alebo UDP .
4
Určte smer pravidlo . Pole " smer " hovorí Snort , ktorá adresa je zdrojom paketu a ktoré je cieľ . Napríklad tým , že sa sekvencie znakov " - > " v cieľovej oblasti , " address0_IP " je zdrojová IP adresa paketu dát , zatiaľ čo " address1_IP " je cieľom cesty paketu
5
. napíšte pravidlo , Snort , ktorý upozorní na programe vždy , keď je detekovaný prevádzka z konkrétnej adresy . Predpokladám , že tento prevádzku používa protokol TCP a pochádza z adresy 192.168.2.99 . Pomocou kľúčového slova " žiadny" , môžete vyplniť v prístave a adresa polí pre určenie údajov . Nasledujúce pravidlo Snort vytvorí správu vždy , keď je detekovaný prevádzka z tejto adresy :
upozornenia tcp 192.168 . 2.99 akýkoľvek - > Všetok ( msg : " . Prevádzky od 192.168 2,99 " ;)