Snort è un'applicazione gratuita in rete di rilevamento delle intrusioni e di prevenzione per il sistema operativo Linux . Snort dotato di un motore incorporato che consente di scrivere le proprie regole utilizzando un linguaggio specialistico . Regole di Snort sono composti da due parti: l' intestazione e le opzioni . Regole seguono uno schema di base : un pacchetto di dati in ingresso viene esaminato e testato contro le specifiche delle regole . Se la condizione è soddisfatta - se il pacchetto è da un indirizzo specifico , per esempio - è preso una azione . È possibile utilizzare questo modello di base per creare le proprie regole di Snort . Istruzioni
1
Familiarizzare con la forma generale di una regola di Snort . Una regola simile a questa :
azione protocollo address0_IP address0_port direzione address1_ip address1_port ( opzioni ) economici 2
Decidere quale "azione" si vuole la regola di prendere . Il campo "azione" determina la regola compie in realtà . L'azione di "log" , per esempio , registra semplicemente l' evento di rete . L'azione di "alert" invia un messaggio che è determinato dal file di configurazione di Snort o invia un messaggio alla riga di comando . Per un elenco completo delle azioni accettabili , consultare la documentazione di Snort .
3
Decidere che cosa protocollo a cui si desidera applicare la regola . Il campo " protocollo " si riferisce al protocollo di rete che viene utilizzato dal pacchetto di dati , che può essere IP , ICMP , TCP o UDP .
4
Determinare la direzione della regola . Il campo "direzione" dice Snort quale indirizzo è la sorgente del pacchetto e che è la destinazione . Ad esempio , inserendo la sequenza di caratteri " - > " nel campo di destinazione , " address0_IP " è l'indirizzo IP di origine per il pacchetto di dati , mentre " address1_IP " è la destinazione del pacchetto
5
. Scrivi una regola di Snort che avvisa il programma ogni volta che viene rilevato traffico proveniente da un indirizzo specifico . Supponiamo che questo traffico utilizza il protocollo TCP e viene da l'indirizzo 192.168.2.99 . Utilizzando la parola chiave " qualsiasi ", è possibile compilare i campi di porta e l'indirizzo per la destinazione dei dati . La seguente regola di Snort crea un messaggio ogni volta che viene rilevato traffico proveniente da questo indirizzo :
alert tcp 192.168 . 2.99 qualsiasi - > qualsiasi qualsiasi ( msg : " . Traffico da 192.168 2,99 " ;)