Snort 8. rész

Szintaxis. classtype:;

riasztási tcp minden olyan -> bármely 25 (msg: "SMTP expn root"; flags: A +; tartalommal: "expn root"; nocase; classtype: megkísérelt-felderítés;)

A classtype opciónak csak azokat a besorolási értékeket kell megadnia, amelyek a snort.conf fájlban vannak definiálva a config osztályozás használatával. A Snort szabványos besorolást biztosít a classification.config fájlban. amelyet a mellékelt szabályok tartalmaznak.

Állítsa be a szabályok fontosságát. A prioritási paraméternek a classtype-el együtt használható, és a classtype paraméter prioritási szintje megváltozik.

Szintaxis. prioritás:;

riasztás tcp bármilyen -> minden 80 (msg: "WEB-MISC phf kísérlet"; zászlók: A +; tartalom: "/ cgi-bin / phf"; prioritás: 10;)

figyelmeztető tcp bármilyen -> minden 80 (msg: "EXPLOIT ntpdx túlcsordulás"; dsize:> 128; classtype: kísérlet-admin; prioritás: 10;)

A táblázatban feltüntetett kulcsokon kívül a Snort ténylegesen figyelmen kívül hagyja, így szabad formában írhatók a kulcsérték formátumban. Több kulcsot vesszővel elválasztanak, a kulcsokat és értékeket szétválasztja.

metaadatok: kulcs1 érték1; metaadatok: kulcs1 érték1, kulcs2 érték2;

riasztási tcp bármilyen -> minden 80 (msg: "Megosztott könyvtár-szabály példa"; metaadatok: motor megosztva; metaadatok: soid 3 | 12345;)

riasztás tcp bármilyen -> minden 80 (msg: "Megosztott könyvtár-szabály példa"; metaadatok: motor megosztva, soid 3 | 12345;)

riasztás tcp bármilyen -> minden 80 (msg: "HTTP szolgáltatás szabály példa"; metaadat: szolgáltatás http;)

A tartalmi kulcsszó számos módosítással módosítja a korábban megadott tartalom viselkedését. Modifikátorok listája:

riasztási tcp bármelyik -> minden 139 (tartalom: "| 5c 00 | P | 00 | I | 00 | P | 00 | E | 00 5c |";);

riasztás tcp bármilyen -> minden 80 (content :! "GET";)

El kell kerülnie a következő karaktereket:

Hasonló funkcióval rendelkezik a tartalomban. de nem működik más módon. A tartalomvédett kulcsszó kulcsszavának fő előnye, hogy lehetővé teszi a céltartalom elrejtését csak a megadott tartalom hash (digest) megnyitásával. Mint a tartalom esetében. A fő cél az egyes bájtok húrjainak egyeztetése. A keresést a beérkező üzenetek részének hashézésével és a kapott hash összeggel összevetve végezzük el. Mert mi történik egy nagyon nagy számítással.

Jelenleg a protected_content kulcsszóval lehet használni az MD5, SHA256 és SHA512 hasító algoritmusokat. A hash-algoritmust meg kell adni a szabályban a hash kulcsszó használatával. Ha az alapértelmezés szerint nincs beállítva a Snort konfigurációban. Ezenkívül a protected_content mellett meg kell adni a hosszméretezőt. a forrásadatok hosszának megadásához.

Mint a tartalom esetében. a szabályban több feltétel is használható protected_content. A szabály lehetővé teszi a tartalom és a protected_content megosztását. A protected_content-ban is használhatja a negatív módosítót "!".

A protected_content kulcsszó ugyanazokkal a módosításokkal rendelkezik, mint a tartalom. kivéve a következőket:

Szintaxis. protected_content: [!] "", hossza: orig_len [, hash: md5 | sha256 | sha512];

A következő szabályok lépnek fel a "HTTP" sorban.

riasztás tcp bármilyen <> minden 80 (msg: "MD5 Alert"; protected_content: "293C9EA246FF9985DC6F62A650F78986"; hash: MD5; offset: 0; hossz: 4;)

riasztás tcp bármilyen <> minden 80 (msg: "SHA256 Alert"; protected_content: "56D6F32151AD8474F40D7B939C2161EE2BBF10023F4AF1DBB3E13260EBDC6342"; hash: sha256; offset: 0; hossz: 4;)

A hasító algoritmus meghatározására szolgál, amelyet akkor használnak, ha a védett_content feltételben megadott mintával egyeznek. Ha az alapértelmezett algoritmus nincs megadva a Snort konfigurációban, meg kell adnia a protected_content szabályban használt algoritmust. Jelenleg a következő hasítási algoritmusok támogatottak: MD5, SHA256 és SHA512.

A tartalom hossza, amelyre a hash-összeg (emésztés) védett_tartalomra van beállítva. A megadott értéknek 0 és 65536 között kell lennie.

riasztás tcp bármilyen -> bármely 21 (msg: "FTP ROOT", tartalom: "USER root"; nocase;)

A rawbytes kulcsszó a tartalom kulcsszó módosítása előtt. amely lehetővé teszi a nyers csomagadatokkal való együttműködést, figyelmen kívül hagyva az előfeldolgozókkal végzett bármilyen dekódolást.

A HTTP Inspect egy sor http_raw_cookie kulcsszóval rendelkezik. http_raw_header. http_raw_uri stb., hogy olyan nyers adatokkal dolgozzon, amelyek megfelelnek a HTTP-kérelmek és válaszok egyes részeinek. Ezekkel a kulcsszavakkal nem kell használni a rawbytest, mert ezek a feltételek alapértelmezés szerint nyers adatokkal dolgoznak.

A legtöbb más előfeldolgozó alapértelmezés szerint dekódolt / normalizált adatokat használ, hogy megfeleljen a mintának. Ezért, hogy illeszkedjen a tetszőleges nyers adatokhoz a csomagból, meg kell adnia a kulcsszó nyersanyagát.

riasztási tcp bármelyik -> bármely 21 (msg: "Telnet NOP"; tartalom: "| FF F1 |"; rawbytes;)