snor conf分析(中文).docxVIP

snort.conf分析此文件包含一个snort配置样例。共分五步骤：1 设置你的网络变量2 配置动态加载库3 配置预处理器4 配置输出插件5 增加任意的运行时配置向导6 自定义规则集step1：设置你的网络变量1 其中针对本地网络给出3种方式：a) 清晰指定你的本地网络var HOME_NET /24(如果希望构建的Snort支持IPV6支持，则这里定义网段的类型就应该改为pvar)b) 使用全局变量var HOME_NET $eth0_ADDRESSc) 也可一定义一个地址列表，中间用逗号隔开：var HOME_NET [/24,/24] (列表中不能有空格）d) 定义任意的IP地址var HOME_NET any2 针对外部网络a) 全部var EXTERNAL_NET anyb) 除了HOME_NET之外的var EXTERNAL_NET !$HOME_NET3 配置你的服务器列表（如果你都没有运行一个web server，干嘛还要检测HTTP 攻击呢？这样可以基于IP地址进行快速的过滤，这些配置必须保持和$HOME_NET相同的配置框架）DNS服务：var DNS_SERVERS $HOME_NETSMTP服务：var SMTP_SERVERS $HOME_NETWeb 服务：var HTTP_SERVERS $HOME_NETSQL服务：var SQL_SERVERZ $HOME_NETTelnet服务：var TELNET_SERVERS $HOME_NETFTP服务：var FTP_SERVERS $HOME_NETSNMP服务：var SNMP_SERVERS $HOME_NET4 配置你的服务端口这使得snort去跟踪针对特点端口应用的攻击，如你的web server在端口8180上，则你应这样配置：portvar HTTP_PORTS 8180 不过这个值通常为80，因此定义为：portvar HTTP_PORTS 80如果你希望定义多HTTP端口，语法是这样的：portvar HTTP_PROTS [80,8080] 或者portvar HTTP_PROTS[80,8000:8080]但是在rule中只能定义$HTTP_PORTS一次，之前曾有方法对此变量进行重定义，包含了两次定义，这种做法已经不再使用。eg：定义你希望发现SHELLCODE的端口：portvar SHELLCODE_PORTS !80可能发想对ORACLE的攻击：portvar ORACLE_PORTS 1521针对FTP服务的端口：portvar FTP_PORTS 21AIM 服务（聊天服务）：AOL公司有增加新的AIM 服务的习惯，我们将他们都增加到服务列表中，而不是修改它们的签名（这一句话，我还理解的不够透彻，原文是： AOL has a habit of adding new AIM servers, so instead of modifying signatures when they do, we add them to this list of servers.)var AIM_SERVERS [/23, ]5 配置你的rules文件路径这个可以是一个相对路径（不过对于windows用户，最好给绝对路径）var RULE_PATH /etc/snort/rulesvar PREPROC_RULE_PATH /etc/snort/preproc_rules6 配置你的解码器说明：snort的解码器会因为很多事情而产生警报，如报文头截断、不正常的长度和不经常使用的tcp 选项。关闭一般解码事件：config disable_decode_alerts关闭针对实验TCP选项的警告config disable_tcpopt_experimental_alerts关闭针对失效TCP选型的警告config disable_tcpopt_obsolete_alerts关闭针对T/TCP警告的相应config disable_tcpopt_ttcp_alerts关闭针对所有TCP选项类型事件的相应config disable_tcpopt_alerts关闭针对非法ip选型的警告config disable_ipopt_alerts开启警告：如果(IP,TCP,UDP)的长度域中的值要比真实捕获数据包的长度值要大，则发出警告：config enable_decode_oversized_alerts同上面场景但是，但如果在inline模式中，将直接drop此包，但需保证上面的config: enable_decode_oversized_alerts已经开启：config enable_decode_oversized_drops7