Примеры правил СОВ Snort

Логические операции

Опции

Порты

IP-адреса

Протокол

После указания действия правила нужно указать протокол, по которому придет пакет. Этот параметр может принимать следующие значения: TCP, UDP, IP, ICMP.

Далее следуют два IP-адреса. Первый, как правило, с которого приходит пакет, а второй, на какой пакет отсылается. Но это не обязательно, так как между двумя адресами можно использовать так называемый оператор направления «->«, «<>«(двустороннее), который подобно стрелкам указывает направление передачи. Важно отметить отсутствие оператора "<-".

Поскольку Snort не имеет встроенного механизма получения IP-адреса, используя доменное имя, то нужно указывать конкретный IP-адрес или же диапазон IP-адресов. В этом параметре можно использовать маски.

После IP-адреса указывается номер порта, с которого отсылаются данные и на который приходит информация (в случае применения оператора направления «->«). С использованием знака «:» можно указать диапазон портов. Часто используется оператор отрицания «!». Если опущен один из параметров диапазона (:321 или 123:), то пропускаемый параметр принимает крайнее значение общего количества портов, то есть 0 или 65535.

После указания всех параметров так называемого заголовка правила, указываются опции, по которым и будет осуществляться основной анализ пакетов.

Все опции можно разделить на четыре большие категории:

- meta-data – в этих опциях не указываются данные для осуществления проверки пакета. Здесь содержится информация о типе атаки, возможные материалы об уяз-вимости, ссылки, и т.п;

- payload – в параметрах этой категории указывается информация непосред-ственно о данных, которые содержит пакет;

- non-payload – в этой категории содержится служебная информация о пакете (заголовок);

- post-detection – здесь указываются задачи, которые необходимо осуществить после нахождения информации в пакете.

В тексте правила можно указывать перенос строки с помощью символа «\».

В правилах есть возможность добавлять логические операторы «OR» и «AND».

1. alert tcp!192.168.1.0/24 any -> 192.168.1.0/24 any (msg:»IDS004 - SCAN-NULL Scan»;flags:0; seq:0; ack:0;)

Такое правило обнаруживает попытку так называемого NULL-сканирования портов.

2. activate tcp!192.168.1.0/24 any -> 192.168.1.0/24 143 (flags: PA; content: «|E8C0FFFFFF|\bin|»; activates: 1; msg: «IMAP buffer overflow!»;) dynamic tcp!192.168.1.0/24 any -> 192.168.1.0/24 143 (activated_by: 1; count: 50;)

Правило анализирует пакеты на предмет попытки реализации атаки на переполнение буфера и в случае обнаружения таковой вызывает правило dynamic для записи в лог-файл следующих 50 пакетов. Если атака была успешной, то, анализируя впоследствии файл, можно установить, какой именно урон был нанесен.

3. alert tcp any 80 <> 192.168.1.0/24 any (content-list: «adults.txt»; msg: «Not for children!»; react: block, msg;)

Этим правилом блокируется доступ на web-сайты, адреса которых перечислены в файле adults.txt. При обнаружении запроса к нежелательному серверу соединение с ним закрывается, генерируется сообщение «Not for children!», которое кроме записи в лог отправляется и браузеру. Таким образом, Snort может выполнять функции web-фильтра.

Дата добавления: 2017-02-01; Просмотров: 208; Нарушение авторских прав?; Мы поможем в написании вашей работы!