Snort的配置与使用题材.ppt

三、攻击手段对应规则举例 实例1： IIS发布之初，附带的例子网页存在漏洞 特点： 保存在Web根目录下的/site/iisamples目录下。 alert tcp $EXTERNAL_NET any -$HTTP_SERVER 80(msg:”WEB_IIS site/iisamples access”;flag:A+; uricontent:”/site/iisamples”;nocase;classtype:attemped-recon;sid:1046;rev:1;) 实例2： 红色代码的一个变种CodeRedⅡ。 特点 利用MS Index Server（.ida/.idq）ISAPI扩展远程溢出漏洞（MS01-033） alert tcp $EXTERNAL any-$INTERNAL 80 (msg:”IDS552/web-iis_IIS ISAPI Overflow ids”;dsize:239;flags:A+;uricontent:”.ida?”;classtype:system-or-info-attempt;reference:arachnids,552;) 规则的更新 经常访问snort的官方网站,更新它所发布的规则。 加入snort的邮件列表 /lists/listinfo/snort-sigs 根据自己的环境定制自己的规则 四、规则的设计 根据网络的安全策略定制自己的规则 对付新的攻击 自己动手写好的规则 加速含有内容选项的规则 修改已存在的规则 假设某机构中只有一台IIS服务器，管理员想修改相关规则使它仅仅应用在这台服务器上，而不是用在每台web服务器上，一开始你可能想修改snort-sigs邮件列表的后缀为.htr chunked的编码规则，这条规则如下： alert tcp $EXTERNAL_NET any - $HTTP_SERVER $HTTP_PORTS(msg:”WEB_IIS .hrt chunked encoding”; uricontent:”.htr”; classtype: web-application-attack; rev:1) alert tcp $EXTERNAL_NET any - $HTTP_PORTS(msg:”WEB_IIS .hrt chunked encoding”; uricontent:”.htr”; classtype: web-application-attack; rev:2) alert tcp $EXTERNAL_NET any - $HTTP_PORTS(msg:”WEB_IIS .hrt chunked encoding”; flow:to_server,establish; uricontent:”.htr”; classtype: web-application-attack; rev:3) POST /EEYE.htr HTTP/1.1 Host:0 Transfer-Encoding:chunked 20 XXXXXXXXXXXXXXXXXXXXXXXXEEYE2002 0 [Enter] [Enter] alert tcp $EXTERNAL_NET any - $HTTP_PORTS(msg:”WEB_IIS .hrt chunked encoding”; flow:to_server,establish; uricontent:”.htr”; content:”Transfer-Encoding\:”; content:”chunked”; classtype: web-application-attack; rev:4) alert tcp $EXTERNAL_NET any - $HTTP_PORTS(msg:”WEB_IIS .hrt chunked encoding”; flow:to_server,establish; uricontent:”.htr”; content:”Transfer-Encoding\:”; content:”chunkd”; nocase; classtype: web-application-attack; rev:5) 一些规则使用的例子 （1）记录所有登录到一个特定主机的数据包： log tcp any any - /32 23 （2）在第一条的基础上记录了双向的流量： log tcp any any ? /32 23 （3）这一条规则记录了所有到达你的本地主机的icmp数据包： log icmp any any - /24 any （4）这条规则允许双向的从你的机子到其他站点的http包： pass t