Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Параметри правил Snort






Нагадаємо, що правило Snort складається із заголовка і параметрів, які і будуть детально розглянуті в цьому розділі.

Заголовок правила визначає дію, виконувану при отриманні відповідного правилу пакету. В ньому також задаються IP-адреси і порти відправника і одержувача, протокол і напрям передачі пакету, що використовується. Заголовок правила може використовуватися і як самостійне правило, але частіше після нього указуються параметри, за допомогою яких більш точно задаються атрибути пакетів, що цікавлять. Цікаво, що існують комерційні системи виявлення вторгнень, в яких сигнатури аналізу трафіку надають можливості, аналогічні можливостям заголовків правил системи Snort. Іншими словами, в цих системах не можна задати більш докладний аналіз пакету, ніж перевірка IP-адрес, протоколу і номерів портів, що використовується. Безумовно, подібні сигнатури ніяк не можна назвати точними. Для системи Snort параметри правил є основою функціональних можливостей виявлення злому.

Формат параметрів правила

В Snort параметри правила відділяються від його заголовка за допомогою круглих дужок. Розглянемо наступне правило.

alert tcp! $HOME_NET any -> $HOME _NET any (flags: SF; \

msg: " SYN-FIN scan";)

В даному випадку параметри задані в рядку (flags: SF; \ msg: " SYN-FIN scan";). Кожний параметр включає ключове слово і (можливо) його значення. В даному прикладі для ключового слова “flags” встановлено значення SF, а для ключового слова “msg” - значення SYN-FIN scan. Для деяких параметрів як значення ключового слова повинні встановлюватися чисельні значення, для інших це повинні бути спеціальні коди. Між ключовим словом і його значенням встановлюється символ двокрапки (:), а параметри відділяються один від одного крапкою з комою (;). Крім того, крапка з комою повинна бути встановлена після останнього параметра. В іншому випадку буде видано повідомлення про помилку. Хоча значення більшості ключових слів вимагається встановлювати, але є і декілька виключень. Наприклад, не існує значень для ключового слова “nocase”, яке визначає, що при дослідженні вмісту корисних даних пакету не повинен враховуватися регістр символів.

Для Snort не має значення наявність декількох або повна відсутність пропусків між символами розділення (; і:), параметрами і значеннями. Наприклад, обидва наступні набори параметрів є рівнозначними.

(flags: SF; msg: " SYH-FIN scan";)

(flags: SF; msg: " SYN-FIN scan";)

Символ зворотної косої лінії (\) є символом продовження правила. Він встановлюється в кінці рядка незавершеного правила і дозволяє продовжити його написання в наступному рядку. Символ “решітки” (#) використовується для додавання коментарів в правила Snort.






© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.