Snort每一项的具体含义VIP免费

Snort规则选项详解 Snort规则被分成两个逻辑部分：规则头和规则选项。规则头包含规则的动作，协议，源和目标ip地址与网络掩码，以及源和目标端口信息；规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则头： 规则动作： 在snort中有五种动作：alert、log、pass、activate和dynamic. 1、Alert-使用选择的报警方法生成一个警报，然后记录（log）这个包。 2、Log-记录这个包。 3、Pass-丢弃（忽略）这个包。 4、activate-报警并且激活另一条dynamic规则。 5、dynamic-保持空闲直到被一条activate规则激活，被激活后就作为一条log规则执行。 协议类型： Snort当前分析可疑包的ip协议有四种：tcp 、udp、icmp和ip。将来可能会更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等。 地址： 关键字"any "可以被用来定义任何地址。 地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络， /16表示b类网络，/32表示一个特定的机器的地址。 否定操作符用"！"表示。 你也可以指定ip地址列表，一个ip地址列表由逗号分割的ip地址和CIDR块组成，并且要放在方括号内“[”，“]”。此时，ip列表可以不包含空格在ip地址之间。 例如： alert tcp ![192.168.1.0/24,10.1.1.0/24] any -> [192.168.1.0/24,10.1.1.0/24] 111 (content: "|00 01 86 a5|"; msg: "external mountd access";) 变量定义： var MY_NET 192.168.1.0/24 alert tcp any any -> $MY_NET any (flags: S; msg: "SYN packet";) 注："$" 操作符之后定义变量； "?" 和 "-"可用于变量修改操作符； $var - 定义变量。 $(var) - 用变量"var"的值替换。 $(var:-default) - 用变量"var"的值替换，如果"var"没有定义用"default"替换。 $(var:?message) - 用变量"var"的值替换或打印出错误消息"message"然后退出。 例如： var MY_NET $(MY_NET:-192.168.1.0/24) log tcp any any -> $(MY_NET:?MY_NET is undefined!) 23 端口号： 端口号可以用几种方法表示，包括"any"端口、静态端口定义、范围、以及通过否定操作符。 静态端口定义表示一个单个端口号，例如111表示portmapper，23表示telnet，80表示http等等。端口范围用范围操作符"："表示。范围操作符可以有数种使用方法，如下所示： log udp any any -> 192.168.1.0/24 1:102...