snort规则

2
IDS分类
上面两附图分别介绍了跟据原始数据来源划分的两 种IDS： 基于主机的入侵检测系统 基于网络的入侵检测系统。 IDS按照检测原理划分： 异常检测 误用检测（规则）
安徽职业技术学院
Win or go out小组 out小组
3
特征
特征是数据包中包含信息的特点。特征用来检测一 种或多种攻击行为。例如，目标是你的web服务的包 中如果出现“scripts/iisadmin”，可能意味着一个入侵 尝试。 根据攻击行为本质的不同，特征数据可能会出现在 数据包中的不同位置。例如，你可能会在IP包头、 传输层头(TCP或UDP头)及/或应用层头或载荷中发现 攻击特征。
传感器配置与连接 软件管理控制平台安装步骤——详参视频 控制台设置与传感器控制 策略编辑与应用 报表工具登陆与使用
安徽职业技术学院
Win or go out小组 out小组
23
1、传感器配置（console） 、传感器配置（console）
管理端口选择 管理IP 地址 数据服务器IP地址 传感器传输密钥
安徽职业技术学院 Win or go out小组 out小组
10
规则动作
Snort规则
动作是Snort规则中的第一个部分，它表示规则的条件符合的时候， 将会有什么样的动作产生。Snort有5个预定义的动作，也可以定义动 作。
需要注意的是：Snort 1.x和2.x对规则的应用是不同的，在1.x中，只要包符合第一个条件，它就会 做出动作，然后就不再管它，尽管它可能符合多个条件；在2.x中，只有包和所有相应规则比对后， 才根据最严重的情况发出告警。
25
3、登陆控制台
使用Admin、密码：Admin登陆。 注意大小写！ 增加管理用户，勾选权限。 演示中增加了一个duwc用户，勾选所有可勾选选项。 再次使用增加的用户登陆，增加logserver和传感器 增加组件，填写传感器地址和密钥以及数据服务器地址。
安徽职业技术学院
Win or go out小组 out小组
第二部分
IDS软件配置管理平台搭建 IDS软件配置管理平台搭建
安徽职业技术学院
Win or go out小组 out小组
21
传感器配置与连接
传感器一台（图）
管理口
监控口
网线若干、控制线 交换机、PC机
IDS数据服务系统控制台
安徽职业技术学院Baidu Nhomakorabea
Win or go out小组 out小组
22
IDS系统安装与配置 IDS系统安装与配置
安徽职业技术学院
Win or go out小组 out小组
7
规则的结构
规则头部 规则选项
Snort规则
alert ip any any -> any any (msg: "IP Packet detected";)
动作
协议
地址
端口
方向
地址
端 口
安徽职业技术学院
Win or go out小组 out小组
安徽职业技术学院
Win or go out小组 out小组
17
关键字flow
Snort规则
Flow选项与snort的TCP重建特征协同工作，将规则 应用于流量的一个指定方向。
To_client To_server From_client From_server
可以使用其中的几个，也可以将该规则仅用于tcp会话的特定情况：
8
第二个简单的规则
Snort规则
alert icmp any any -> any any (msg: "Ping with TTL=100"; ttl: 100;) 当它探测到TTL为100的ICMP ping包的时候，就会产生告警
安徽职业技术学院
Win or go out小组 out小组
9
第二个简单的规则
26
4、策略编辑和应用
管理用户点击策略快捷图标 解除某策略模板锁定状态 派生新的可编辑策略 应用策略，硬重启设备
安徽职业技术学院
Win or go out小组 out小组
27
5、报表工具登陆与使用
报表用户登录
报表的定制
报表的打印
安徽职业技术学院
Win or go out小组 out小组
28
讲完谢谢！
16进值的数字47与ASCII字符G的值相等，45与E相等，54与T相等。你可以在 同一条规则中同时用ASCII和16进制来进行特征比对。用16进值表示时，应当 用双竖线||将字符包括进去。
安徽职业技术学院
Win or go out小组 out小组
19
基于动作的Snort规则包检验顺序
Snort规则
安徽职业技术学院
Win or go out小组 out小组
29
Snort规则可以归为3个大类： 告警规则 通过规则 日志规则 Snort提供一种方法改变顺序来提高效率，但是这样做也会使 安全性降低。 将顺序改变为： 通过规则 告警规则 日志规则 在配置文件中用config order来实现顺序的改变
安徽职业技术学院
Win or go out小组 out小组
20
Snort规则 规则
报告人： 报告人：吕宁 指导老师： 指导老师：戴洁老师 报告时间： 报告时间：2011年5月23号 年 月 号
安徽职业技术学院
Win or go out小组 out小组
0
安徽职业技术学院
Win or go out小组 out小组
1
安徽职业技术学院
Win or go out小组 out小组
上限与下限：仅用一个起始端口号或结束端口号来表示端口列表
例如：1000：:比1000大，包括1000 :1024 :比1024小，包含1024的所有端口。
否定符:与地址段相同，你也可以在Snort规则中的端口段用否定符号来排除一
个或多个端口。 log udp any !53 -> any any (msg: “UDP ports”;) 不能用逗号来分隔多个端口，如53，54这样的表示是不允许的，但是可以用 53：54来表示一个端口范围。
“alert”表示如果包与条件匹配，就产生一个告警信息。条件由下面的语句定义。 “ ip”表示规则将被用在所有的IP包上。 第一个“any”是对IP包源地址部分的条件定义，表示来自任何一个IP地址的IP包都符 第一个“ 合 条件，任何IP包都符合本条件。 第二个“ 第二个“any”用来定义端口号，因为端口号与IP层无关，任何IP包都符合条件。 “ ->”符号表示数据包传送的方向。 第3个“any”用来定义目的地址的条件,any表示这条规则并不关心所有包的目的地址 个 。 第4个“any”用来定义目的端口条件，再说明一次，因为IP层与端口无关。 个 最后一部分是规则的选项，，并包含一条将被纪录的告警消息。 最后一部分
安徽职业技术学院
Win or go out小组 out小组
24
2、管理平台安装及配置
数据库服务启动 可手动在操作系统——管理工具——服务中启动sql server，也可 通过重启系统启动。 许可安装
服务管理器启动，三个服务启动并勾选随OS启动
安徽职业技术学院
Win or go out小组 out小组
安徽职业技术学院
Win or go out小组 out小组
14
端口
Snort规则
端口号用来在进出特定的某个或一系列端口的包上运用规则
端口范围：在规则中的端口段设置一系列的端口，而不只是一个。用冒号
分隔起始和结束。例如下面的规则将对来自1024-2048的所有UDP包告警： alert udp any 1024:2048 -> any any (msg: “UDP ports”;)
安徽职业技术学院
Win or go out小组 out小组
12
协议
Snort规则
协议是Snort规则中的第二部分，这一部分将显示那种类型的 包将与该规则比对。到目前为止，Snort可以支持以下协议：
IP ICMP TCP UDP
安徽职业技术学院
Win or go out小组 out小组
13
地址
Snort规则
安徽职业技术学院
Win or go out小组 out小组
4
获得入侵特征
蜜罐 已知的系统弱点
安徽职业技术学院
Win or go out小组 out小组
5
Snort规则
安徽职业技术学院
Win or go out小组 out小组
6
一个简单的规则
Snort规则
alert ip any any -> any any (msg: "IP Packet detected";)
1. pass 2. Log 3. Alert 4. Activate 5. Dynamic
安徽职业技术学院
Win or go out小组 out小组
11
规则动作
Snort规则
Pass：不处理的与特征相匹配的数据包。 Alert：先产生一个警报，然后记录包 Log：该选项不报警只是简单的记录包信息 Activate ：产生告警然后激活其它规则来进行进一步 的检验 Dynamic ：Dynamic规则动作由其它用activate动作的 规则调用，在正常情况下，他们不会被用来检测包。
Established:仅用于已建立的TCP二次握手会话 Stateless：应用于snort没有申明的检查特征
安徽职业技术学院
Win or go out小组 out小组
18
关键字content
Snort规则
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: "GET"; msg: "GET matched";) alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: "|47 45 54|"; msg: "GET matched";)
安徽职业技术学院
Win or go out小组 out小组
16
规则选项
Snort规则
实际特征和优先级 特征部分用一个或多个选项关键字表示。 当于一个特征相关的多个关键字被使用时，使用逻辑与表示。 (msg:”WEB-MISC XSS attempt”; flow: to_server, established; content:”<SCRIPT>”; nocase; priority: 1;) 关键字：flow, content, nocase 表示检测引擎应该匹配含有<SCRIPT>的包有效载荷已建立的发送 给服务器的会话，并且从中忽略大小写。Msg报警输出的消息， priority为优先级。
Snort规则
alert icmp any any -> any any (msg: "Ping with TTL=100"; \ttl: 100;)
动作：在这个规则中，动作是alert(告警)，就是如果符合下面 的条件，就会产生一个告警。记住如果产生告警，默认的情况 下是会记录日志的。 协议：ICMP 源地址和源端口：any 方向：用->表示从左向右的方向 目的地址和端口：any 在括号中的选项部分：如果包符合TTL=100的条件就产生一条 包含文字：“Ping with TTL=100”的告警。TTL是IP包头部字 段。
Snort提供一种机制，可以是你用否定符号“！”，也就是感 叹号，来排除某些地址，这个符号用来限制Snort 不对某些源 或目的地址的包做检测。例如，下面的规则将检测除了来自C 类网络192.168.2.0之外所有的包：
alert icmp ![192.168.2.0/24] any -> any any (msg: "Ping with TTL=100"; ttl: 100;) alert icmp ![192.168.2.0/24,192.168.8.0/24] any -> any any (msg: “Ping \ with TTL=100"; ttl: 100;)
安徽职业技术学院
Win or go out小组 out小组
15
方向段
Snort规则
在Snort规则中，方向段确定源和目的。下面是方向段的相关规定： ->表示左边的地址和端口是源而右边的是目的。 <<-表示右边的地址和端口是源而左边的是目的。 <>表示规则将被应用在两个方向上，同时监视服务器和客户 端的时候，可以用到这个标示。例如，监视往来POP或者 Telnet服务器的数据流。