snort 规则选项 规则选项组成了入侵检测引擎的核心,既易用又强大还灵活。所有的snort 规则选项用分号";"隔开。规则选项关键字和它们的参数用冒号":"分开。按照这种写法,snort 中有 42 个规则选项关键字。 msg - 在报警和包日志中打印一个消息。 logto - 把包记录到用户指定的文件中而不是记录到标准输出。 ttl - 检查 ip 头的ttl 的值。 tos 检查 IP 头中 TOS 字段的值。 id - 检查 ip 头的分片 id 值。 ipoption 查看 IP 选项字段的特定编码。 fragbits 检查 IP 头的分段位。 dsize - 检查包的净荷尺寸的值 。 flags -检查 tcp flags 的值。 seq - 检查 tcp 顺序号的值。 ack - 检查 tcp 应答(acknowledgement)的值。 window 测试 TCP 窗口域的特殊值。 itype - 检查 icmp type 的值。 icode - 检查 icmp code 的值。 icmp_id - 检查 ICMP ECHO ID 的值。 icmp_seq - 检查 ICMP ECHO 顺序号的值。 content - 在包的净荷中搜索指定的样式。 content-list 在数据包载荷中搜索一个模式集合。 offset - content 选项的修饰符,设定开始搜索的位置 。 depth - content 选项的修饰符,设定搜索的最大深度。 nocase - 指定对 content 字符串大小写不敏感。 session - 记录指定会话的应用层信息的内容。 rpc - 监视特定应用/进程调用的RPC 服务。 resp - 主动反应(切断连接等)。 react - 响应动作(阻塞 web 站点)。 reference - 外部攻击参考 ids。 sid - snort 规则id。 rev - 规则版本号。 classtype - 规则类别标识。 priority - 规则优先级标识号。 uricontent - 在数据包的URI 部分搜索一个内容。 tag - 规则的高级记录行为。 ip_proto - IP 头的协议字段值。 sameip - 判定源 IP 和目的IP 是否相等。 stateless - 忽略刘状态的有效性。 regex - 通配符模式匹配。 distance - 强迫关系模式匹配所跳过的距离。 within - 强迫关系模式匹配所在的范围。 byte_test - 数字模式匹配。 byte_jump - 数字模式测试和偏移量调整。 msg msg 规则选项告诉记录和报警引擎,记录或报警一个包的内容的同时打印的消息。它是一个简单的文本字符串,转义符是""。 格式: msg: ""; logto logto 选项告诉 snort 把触发该规则的所有的包记录到一个指定的输出日志文...
