Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky

Domáce Hardware Siete Programovanie Softvér Otázka Systémy

Ako vytvoriť Snort sadu pravidiel

Snort je bezplatná aplikácia , sieťové detekcie narušenia a prevencia pre operačný systém Linux . Snort je vybavený vstavanou - in modul , ktorý vám umožní písať svoje vlastné pravidlá pomocou špecializovaného jazyka . Snort pravidlá sa skladajú z dvoch častí : hlavičky a možností. Pravidlá dodržiavať základný vzorec : prichádzajúci paket dát je skúmaná a testovaná proti špecifiká pravidiel . Je splnená podmienka - v prípade , že paket je z konkrétnej adresu , napríklad - akcia . Môžete použiť tento základný model vytvoriť svoje vlastné pravidlá Snort . Pokyny dovolená 1

Zoznámte sa s všeobecnou formu vlády Snort . Pravidlo vyzerá tohle :

akcie protokol address0_IP smer address0_port address1_ip address1_port ( možnosti )
2

Rozhodnite sa , ktoré " akcia " chcete, aby pravidlo prijať . Pole " akcie " určuje , čo vláda skutočne dosiahne . Akcia " log " , napríklad , jednoducho zaznamenáva udalosti v sieti . " Upozornenie " akcie odošle správu , ktorá je určená konfiguračnom súbore Snort , alebo pošle správu do príkazového riadku . Nájdete v dokumentácii k Snort Úplný zoznam prijateľných opatrení .
3

Rozhodnite sa , čo protokol , do ktorého chcete pravidlo použiť . Pole " Protokol " odkazuje na sieťový protokol , ktorý je používaný u dátového paketu , ktorý môže byť IP , ICMP , TCP alebo UDP .
4

Určte smer pravidlo . Pole " smer " hovorí Snort , ktorá adresa je zdrojom paketu a ktoré je cieľ . Napríklad tým , že sa sekvencie znakov " - > " v cieľovej oblasti , " address0_IP " je zdrojová IP adresa paketu dát , zatiaľ čo " address1_IP " je cieľom cesty paketu
5

. napíšte pravidlo , Snort , ktorý upozorní na programe vždy , keď je detekovaný prevádzka z konkrétnej adresy . Predpokladám , že tento prevádzku používa protokol TCP a pochádza z adresy 192.168.2.99 . Pomocou kľúčového slova " žiadny" , môžete vyplniť v prístave a adresa polí pre určenie údajov . Nasledujúce pravidlo Snort vytvorí správu vždy , keď je detekovaný prevádzka z tejto adresy :

upozornenia tcp 192.168 . 2.99 akýkoľvek - > Všetok ( msg : " . Prevádzky od 192.168 2,99 " ;)

Najnovšie články

Copyright © počítačové znalosti Všetky práva vyhradené