snort01理解snort配置文件.pptVIP

理解snort配置文件 我们可以通过配置文件来定义和应用适于大型或分布式环境需要的特性，这正是Snort强大的原因之一。Snort配置文件允许用户定义变量，附加配置文件以及链接附加配置文件等。 Snort通过配置文件来完成启动配置，配置文件包括7个基本的部分: 变量定义：变量用于Snort规则和其他的目的，比如有关网络、端口、规则文件路径等的变量。 配置参数：指定Snort配置的选项，例如解码参数、检测引擎参数，其中有些参数也可以用在命令行中。 配置动态加载库（dll）。 预处理器配置：用来在探测引擎执行特定的动作前对包进行处理。 输出模块配置：控制如何记录数据。 定义新的动作类型：如果预定义的动作类型不能够满足我们的要求我们可以在配置文件中自定义动作。 规则配置和引用文件：尽管可以在Snort.conf中定义规则，将规则放在不同的文件中还是更加方便管理。我们可以用关键字include来指定所引用的规则文件。 定义和使用变量 在配置文件Snort.conf文件中，已经定义了很多变量，我们可以根据自己的需要修改。 其中，HOME_NET、EXTERNAL_NET、HTTP_PORT等变量非常关键。Snort用户可以定义在配置文件和规则集中使用的变量。 定义变量的语法 定义普通变量： var 变量名 变量值 定义端口变量： portvar 变量名 变量值 定义变量 例var HOME_NET /24 alert ip any any - $HOME_NET any (ipopts: lsrr; msg: “Loose source routing attempt”; sid: 1000001;) 定义变量 变量中使用变量值列表 var HOME_NET [/24，/24] //不同的条目用逗号分隔 定义变量的时候，可以用网络接口名称 var HOME_NET $eth0_ADDRESS var EXTERNAL_NET $eth1_ADDRESS 动态变量 在定义变量的时候，我们可以使用“动态变量”，也就是在配置文件或附加包含文件中用已定义了的变量再去定义其他变量 例如，假如我们定义了一个变量DMZ_WEB，那么接下来这个变量定义是有意义的： var EXTERNAL_WEB $DMZ_WEB 关键字any也可以成为一个变量。它匹配任何值，例如： var EXTERNAL_NET any 动态变量 如果被引用的变量没有定义或定义非法，动态变量可以被赋予一个“默认静态地址”，我们也可以定义一段错误提示信息，当被引用变量未定义时将显示该信息。定义格式如下： var 变量名 $被引用变量: 默认静态地址 var 变量名 $被引用变量: ? 错误提示信息 “变量值”部分被冒号分开，冒号前面是被引用变量，当被引用变量未定义时，引擎将根据冒号后面的部分执行动作。 var DNS_SERVER $(ORG_DNS_SERVER: ) var ENTIRE_INTERNAL_COMPANY $(INTERNAL_NETS: ?错误！未定义INTERNAL_NETS) 配置文件中的其他关键要素 在配置文件中还有其他一些非常重要的初始化要素，包括： 预处理器配置，格式如下： preprocessor 预处理器名[: 配置选项] 输出模块配置，格式如下： output 输出模块名[: 配置选项] 规则和包含文件配置，格式如下： include 规则文件路径/规则文件名 * *