信息安全工程师案例分析真题考点：snort规则

snort 每条规则都可以分成逻辑上的两个部分：规则头(header)和规则选项(General Option)

从开头到括号前属于规则头部分，括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起，它们之间是逻辑与的关系。

▼规则头(header)

●规则行为(rule’s action)：告诉snort在发现匹配规则的包时要干什么。Snort中有alert、log、pass这3个可用的默认操作，此外，如果您在内联模式下运行Snort，则有其他选项，包括drop、reject和sdrop。

alert：使用选定的警报方法生成警报，然后记录数据包

log：记录数据包

pass：忽略数据包

drop：丢弃并记录数据包

reject：阻止数据包，记录它，然后发送TCP重置(如果协议是TCP)或ICMP端口不可访问消息(如果协议是UDP)

sdrop：阻止数据包，但不记录它

●协议(protocol)：当前支持的协议有四种：tcp、udp、icmp和IP

●IP地址：关键词any可以用来定义任意的IP地址，所以地址只能使用数字/CIDR的形式。

●端口： 在规则中，可以有几种方式来指 定端口号，包括：any、静态端口号(static port)定义、端口范围，以及使用非操作定义。any表示任意合法的端口号;静态端口号表示单个的端口号。

关键字any——可用于定义合法端口

单一数字——静态端口，例如23代表telnet

单一数字：——大于等于该端口

：单一数字——表示小于端口号

单一数字——单一数字：端口范围

!——表示非该范围端口

●方向操作符： 方向操作符->表示数据包的流向。它左边是数据包的源地址和源端口，右边是目的地址和端口。此外，还有一个双向操作符<>,它使snort对这条规则中，两个IP地址/端口之间双向的数据传输进行记录/分析。

->：单向发送

<>： 双向交互

▼规则选项(options)：通常包括一个msg(报警消息)作为提示信息，以及包的哪一个部分满足什么条件会触发规则，规则选项有42种关键字。语法为关键字：变量，关键字之间用;分隔。

▼其他概念：

Includes：include允许由命令行指定的规则文件包含其他的规则文件。

Variables：变量可能在snort中定义

Config：Snort的很多配置和命令行选项都可以在配置文件中设置。

相关真题：2021年信息安全工程师下午案例分析真题，第一大题，问题5第(5)问【针对图1-2所示的网络分组，李工查看了该攻击对应的Snort检测规则，以更好地掌握Snort 入侵检测系统的工作机制。请完善以下规则，填充空(a)、(b)处的内容。(a) tcp any any -> any any (msg:"XXX";content:" (b)";nocase;sid:1106;)】