2023年07月10日来源:信管网 作者:cnitpm
信息安全工程师案例分析真题考点:snort规则
snort 每条规则都可以分成逻辑上的两个部分:规则头(header)和规则选项(General Option)
从开头到括号前属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起,它们之间是逻辑与的关系。
▼规则头(header)
●规则行为(rule’s action):告诉snort在发现匹配规则的包时要干什么。Snort中有alert、log、pass这3个可用的默认操作,此外,如果您在内联模式下运行Snort,则有其他选项,包括drop、reject和sdrop。
alert:使用选定的警报方法生成警报,然后记录数据包
log:记录数据包
pass:忽略数据包
drop:丢弃并记录数据包
reject:阻止数据包,记录它,然后发送TCP重置(如果协议是TCP)或ICMP端口不可访问消息(如果协议是UDP)
sdrop:阻止数据包,但不记录它
●协议(protocol):当前支持的协议有四种:tcp、udp、icmp和IP
●IP地址:关键词any可以用来定义任意的IP地址,所以地址只能使用数字/CIDR的形式。
●端口: 在规则中,可以有几种方式来指 定端口号,包括:any、静态端口号(static port)定义、端口范围,以及使用非操作定义。any表示任意合法的端口号;静态端口号表示单个的端口号。
关键字any——可用于定义合法端口
单一数字——静态端口,例如23代表telnet
单一数字:——大于等于该端口
:单一数字——表示小于端口号
单一数字——单一数字:端口范围
!——表示非该范围端口
●方向操作符: 方向操作符->表示数据包的流向。它左边是数据包的源地址和源端口,右边是目的地址和端口。此外,还有一个双向操作符<>,它使snort对这条规则中,两个IP地址/端口之间双向的数据传输进行记录/分析。
->:单向发送
<>: 双向交互
▼规则选项(options):通常包括一个msg(报警消息)作为提示信息,以及包的哪一个部分满足什么条件会触发规则,规则选项有42种关键字。语法为关键字:变量,关键字之间用;分隔。
▼其他概念:
Includes:include允许由命令行指定的规则文件包含其他的规则文件。
Variables:变量可能在snort中定义
Config:Snort的很多配置和命令行选项都可以在配置文件中设置。
相关真题:2021年信息安全工程师下午案例分析真题,第一大题,问题5第(5)问【针对图1-2所示的网络分组,李工查看了该攻击对应的Snort检测规则,以更好地掌握Snort 入侵检测系统的工作机制。请完善以下规则,填充空(a)、(b)处的内容。(a) tcp any any -> any any (msg:"XXX";content:" (b)";nocase;sid:1106;)】
温馨提示:因考试政策、内容不断变化与调整,信管网提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!
相关推荐