信息安全工程師案例分析真題考點(diǎn)：snort規(guī)則

snort 每條規(guī)則都可以分成邏輯上的兩個(gè)部分：規(guī)則頭(header)和規(guī)則選項(xiàng)(General Option)

從開頭到括號(hào)前屬于規(guī)則頭部分，括號(hào)內(nèi)的部分屬于規(guī)則選項(xiàng)。規(guī)則選項(xiàng)中冒號(hào)前面的詞叫做選項(xiàng)關(guān)鍵詞(option keywords)。如果許多選項(xiàng)組合在一起，它們之間是邏輯與的關(guān)系。

▼規(guī)則頭(header)

●規(guī)則行為(rule’s action)：告訴snort在發(fā)現(xiàn)匹配規(guī)則的包時(shí)要干什么。Snort中有alert、log、pass這3個(gè)可用的默認(rèn)操作，此外，如果您在內(nèi)聯(lián)模式下運(yùn)行Snort，則有其他選項(xiàng)，包括drop、reject和sdrop。

alert：使用選定的警報(bào)方法生成警報(bào)，然后記錄數(shù)據(jù)包

log：記錄數(shù)據(jù)包

pass：忽略數(shù)據(jù)包

drop：丟棄并記錄數(shù)據(jù)包

reject：阻止數(shù)據(jù)包，記錄它，然后發(fā)送TCP重置(如果協(xié)議是TCP)或ICMP端口不可訪問消息(如果協(xié)議是UDP)

sdrop：阻止數(shù)據(jù)包，但不記錄它

●協(xié)議(protocol)：當(dāng)前支持的協(xié)議有四種：tcp、udp、icmp和IP

●IP地址：關(guān)鍵詞any可以用來定義任意的IP地址，所以地址只能使用數(shù)字/CIDR的形式。

●端口： 在規(guī)則中，可以有幾種方式來指 定端口號(hào)，包括：any、靜態(tài)端口號(hào)(static port)定義、端口范圍，以及使用非操作定義。any表示任意合法的端口號(hào);靜態(tài)端口號(hào)表示單個(gè)的端口號(hào)。

關(guān)鍵字any——可用于定義合法端口

單一數(shù)字——靜態(tài)端口，例如23代表telnet

單一數(shù)字：——大于等于該端口

：?jiǎn)我粩?shù)字——表示小于端口號(hào)

單一數(shù)字——單一數(shù)字：端口范圍

!——表示非該范圍端口

●方向操作符： 方向操作符->表示數(shù)據(jù)包的流向。它左邊是數(shù)據(jù)包的源地址和源端口，右邊是目的地址和端口。此外，還有一個(gè)雙向操作符<>,它使snort對(duì)這條規(guī)則中，兩個(gè)IP地址/端口之間雙向的數(shù)據(jù)傳輸進(jìn)行記錄/分析。

->：?jiǎn)蜗虬l(fā)送

<>： 雙向交互

▼規(guī)則選項(xiàng)(options)：通常包括一個(gè)msg(報(bào)警消息)作為提示信息，以及包的哪一個(gè)部分滿足什么條件會(huì)觸發(fā)規(guī)則，規(guī)則選項(xiàng)有42種關(guān)鍵字。語(yǔ)法為關(guān)鍵字：變量，關(guān)鍵字之間用;分隔。

▼其他概念：

Includes：include允許由命令行指定的規(guī)則文件包含其他的規(guī)則文件。

Variables：變量可能在snort中定義

Config：Snort的很多配置和命令行選項(xiàng)都可以在配置文件中設(shè)置。

相關(guān)真題：2021年信息安全工程師下午案例分析真題，第一大題，問題5第(5)問【針對(duì)圖1-2所示的網(wǎng)絡(luò)分組，李工查看了該攻擊對(duì)應(yīng)的Snort檢測(cè)規(guī)則，以更好地掌握Snort 入侵檢測(cè)系統(tǒng)的工作機(jī)制。請(qǐng)完善以下規(guī)則，填充空(a)、(b)處的內(nèi)容。(a) tcp any any -> any any (msg:"XXX";content:" (b)";nocase;sid:1106;)】