Snort规则的编写
Snort之所以受到广泛的关注,一方面由于它的轻量级特性,消耗系统资源少;另一方面就在于它的动态性和可编程性。然而这对于广大网络用户来说有些困难,因为他们必须具备相应的网络协议分析知识和安全知识。值得庆幸的是,这个软件有相应的规则库可以实时地从网上下载(网址为:),用户可以直接下载即可使用,所以本文不讲述过多的规则编写规范,只是给出几个简单的例子:
● SMB报警配置: output alert_smb:workstation.list ;
● 端口扫描检测模块的配置:prepro
cessor portscan:192.168.1.0/24 5 7 /var/log/portscan.log ;
● 封堵带有不健康信息的数据包:alert tcp any any <> 192.168.1.0/24 80 (content-list:"adults";msg:"Not for children!";react:block,msg) 。