snort预处理程序.docVIP

预处理程序 预处理程序从Snort版本1.5开始引入，使得Snort的功能可以很容易地扩展，用户和程序员能够将模块化的插件方便地融入Snort之中。预处理程序代码在探测引擎被调用之前运行，但在数据包译码之后。通过这个机制，数据包可以通过额外的方法被修改或分析。使用preprocessor关键字加载和配置预处理程序。在Snort规则文件中的preprocessor指令格式如下： preprocessor name: options 例子： preprocessor minfrag: 128 HTTP Decode HTTP Decode用于处理HTTP URI字符串并且将串中的数据转化为可读的ASCII字串。HTTP对于一些特性定义了一个十六进制编码方法，例如字符串%20被解释成一个空格。Web服务器被设计成能够处理无数的客户端并且支持多种不同的标准。 格式： http_decode:port list [unicode] [iis_alt_unicode]［double_encode] [iis_flip_slash] [full_whitespace] 例子： preprocessor http_decode: 80 8080 unicode iis_flip_slash iis_alt_unicode Portscan Detector Snort Portscan预处理程序的