[计算机]IDS8.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Snort分析 * Snort的规则 Snort规则分为两个部分：规则头和规则选项。规则头包含规则的动作、协议、源地址、目的地址、子网掩码、源和目的端口信息。规则选项包含报警信息以及用于确定是否触发规则响应动作而检查的数据包区域位置信息。 Snort分析 * Snort的规则 1．规则头 （1）规则动作 规则的头包含了定义一个包的Who，Where和What信息，以及当满足规则定义的所有属性的包出现时要采取的行动。规则的第一项是“规则动作”（Rule Action），“规则动作”告诉Snort在发现匹配规则的包时要干什么。在Snort中有5种动作：Alert，Log，Pass，Activate和Dynamic。 （2）协议 规则的下一部分是协议。Snort当前分析可疑包的协议有4种：TCP，UDP，ICMP和IP，将来可能会更多，如ARP，IGRP，GRE，OSPF，RIP，IPX等。 Snort分析 * Snort的规则 1．规则头 （3）IP地址 规则头的下一个部分处理一个给定规则的IP地址和端口号信息。关键字“any”可以被用来定义任何地址。 有一个操作符可以应用在IP地址上，它是否定运算符。这个操