本文详细介绍了Snort规则的编写格式,包括IP地址、端口号、选项等的使用,通过多个示例展示了如何记录、过滤和报警不同类型的网络活动,如telnet、HTTP、ICMP等,同时涉及了TCP标志位的含义及其在网络攻击检测中的应用。
Snort Rules 编写示例
Rules的格式如下
func proto src_ip/mask src_port_range -> dst_ip/mask dst_port_range (options)
备注:
可以使用”any”作为IP地址或者Port的通配符
Rules必须单行,解析器(Parser)无法识别多行的Rules
每条Rules以封号和圆括号结束,例如”;)”
以下是Rules的例子:
- 例子一
log tcp any any -> 192.168.1.1/32 23
记录telnet traffic信息,在任意网络上从any(任意)电脑发送到具体IP地址的网络
备注:
32代表子网掩码,通常有以下2种格式的表示方法:
1. 通过与IP地址格式相同的点分十进制表示
如:255.0.0.0 或255.255.255.128
2. 在IP地址后加上”/”符号以及1-32的数字,其中1-32的数字表示子网掩码中网络标识位的长度
如:192.168.1.1/24 的子网掩码也可以表示为255.255.255.0
子网掩码一般为255.255.255.0
常用的保留TCP端口号有:
HTTP 80,FTP 20/21,Telnet 23,SMTP 25,DNS 53等
每个TCP报文头部都包含源端口号(source port)和目的端口号(destination port),用于标识和区分源端设备和目的端设备的应用进程。
在TCP/IP协议栈中,源端口号和目的端口号分别与源IP地址和目的IP地址组成套接字(socket),唯一的确定一条TCP连接。
相对于TCP报文,UDP报文只有少量的字段:源端口号、目的端口号、长度、校验和等,各个字段功能和TCP报文相应字段一样。
下面以TCP报文为例说明端口号的作用:
假设PC1向PC2发起Telnet远程连接,
最低0.47元/天 解锁文章
扫一扫
1354
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
