IDS8Snort分析.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Snort分析 * Snort的规则 Snort规则分为两个部分：规则头和规则选项。规则头包含规则的动作、协议、源地址、目的地址、子网掩码、源和目的端口信息。规则选项包含报警信息以及用于确定是否触发规则响应动作而检查的数据包区域位置信息。 Snort分析 * Snort的规则 1．规则头 （1）规则动作 规则的头包含了定义一个包的Who，Where和What信息，以及当满足规则定义的所有属性的包出现时要采取的行动。规则的第一项是“规则动作”（Rule Action），“规则动作”告诉Snort在发现匹配规则的包时要干什么。在Snort中有5种动作：Alert，Log，Pass，Activate和Dynamic。 （2）协议 规则的下一部分是协议。Snort当前分析可疑包的协议有4种：TCP，UDP，ICMP和IP，将来可能会更多，如ARP，IGRP，GRE，OSPF，RIP，IPX等。 Snort分析 * Snort的规则 1．规则头 （3）IP地址 规则头的下一个部分处理一个给定规则的IP地址和端口号信息。关键字“any”可以被用来定义任何地址。 有一个操作符可以应用在IP地址上，它是否定运算符。这个操作符告诉Snort匹配除了列出的IP地址以外的所有IP地址。否定操作符用“！”表示。下面这条规则对任何来自本地网络以外的流都进行报警。 Snort分析 * Snort的规则 1．规则头 （4）端口号 端口号可以用几种方法表示，包括“any”端口、静态端口定义、范围、以及通过否定操作符。“any”端口是一个通配符，表示任何端口。静态端口定义表示一个单个端口号，例如，111表示Portmapper，23表示Telnet，80表示HTTP等。端口范围用范围操作符“：”表示。 Snort分析 * Snort的规则 1．规则头 （5）方向操作符 方向操作符“-”表示规则所施加的流的方向。方向操作符左边的IP地址和端口号被认为是流来自的源主机，方向操作符右边的IP地址和端口信息是目标主机，还有一个双向操作符“??”。它告诉Snort把地址/端口号对既作为源，又作为目标来考虑。这对于记录/分析双向对话很方便，例如，Telnet或者POP3会话 。 Snort分析 * Snort的规则 1．规则头 （6）Activate和Dynamic 规则 注意：Activate和Dynamic 规则将被Tagging 所代替。在Snort的将来版本，Activate 和Dynamic规则将完全被功能增强的Tagging所代替。 Activate和Dynamic规则对给了Snort更强大的能力。用户现在可以用一条规则来激活另一条规则，当这条规则适用于一些数据包时，在一些情况下这是非常有用的，例如用户想设置一条规则：当一条规则结束后来完成记录。Activate规则除了包含一个选择域：Activates外就和一条Alert规则一样。 Snort分析 * Snort的规则 2. 规则选项 规则选项组成了Snort入侵检测引擎的核心，既易用又强大还灵活。所有的Snort规则选项用分号“；”隔开。规则选项关键字和它们的参数用冒号“：”分开。按照这种写法，Snort中有以下42个规则选项关键字。 ? msg——在报警和包日志中打印一个消息。 ? logto——把包记录到用户指定的文件中而不是记录到标准输出。 ? ttl——检查IP头的TTL的值。 ? tos 检查IP头中TOS字段的值。 ? id——检查IP头的分片ID值。 Snort分析 * Snort的规则 2. 规则选项 ? ipoption 查看IP选项字段的特定编码。 ? fragbits 检查IP头的分段位。 ? dsize——检查包的净荷尺寸的值 。 ? flags ——检查TCP Flags的值。 ? seq——检查TCP顺序号的值。 ? ack——检查TCP应答（Acknowledgement）的值。 ? window 测试TCP窗口域的特殊值。 ? itype——检查ICMP Type的值。 ? icode——检查ICMP Code的值。 ? icmp_id——检查ICMP ECHO ID的值。 ? icmp_seq——检查ICMP ECHO 顺序号的值。 ? content——在包的净荷中搜索指定的样式。 Snort分析 * Snort的规则 2. 规则选项 ? content-list——在数据包载荷中搜索一个模式集合。 ? offset—