Qadam 5. Qoidaning sarlavhasi
Boshlang'ich qavsgacha qoidaning birinchi qismini o'rganishdan boshlaymiz. Qoidalarning dastlabki qismi sarlavha deb nomlanadi va bizning sarlavha shunday ko'rinadi:
Elementlarga sarlavhani buzish
ogohlantirish - bu harakat. Bu ogohlantirish, jurnalga kirish yoki o'tish bo'lishi mumkin.
Tcp - bu qoida qidiradigan trafik protokoli. Ular tcp, udp va icmp bo'lishi mumkin.
$ EXTERNAL_NET - bu zararli paketlarning asl IP-manzili yoki tarmog'i. Uni snort.conf faylida o'zgaruvchi sifatida o'rnatish mumkin.
har qanday zararli trafikning manba porti. Ushbu parametr bitta portga yoki bir nechta yoki bir nechta portga o'rnatilishi mumkin.
-\u003e trafik yo'nalishi. Bunday holda, biz EXTERNAL_NET-dan ichki yoki HOME_NET-ga o'tadigan trafikni qidiramiz.
$ HOME_NET - trafik ketayotgan IP manzil. EXTERNAL_NET singari, uni snort.conf faylida o'zgaruvchi sifatida o'rnatish mumkin.
har qanday maqsad port. Ushbu parametr, shuningdek, ma'lum bir portlarga, masalan, 80 ga yoki portlar ro'yxatini o'z ichiga olgan o'zgaruvchiga ishora qilishi mumkin.
Qadam 6. Snort Rule Options
Endi qoidaning qavslar orasidagi qismini ko'rib chiqamiz. Ular qoida parametrlari deb ataladi. Ushbu qism kalit so'z, ko'p nuqta va argumentdan iborat.
kalit so'z: dalillar
Bizning misol qoidamiz quyidagicha:
Qoida parametrlarining buzilishi
msg - agar ushbu qoida qo'llanilsa, tizim ma'muriga yuboriladigan xabar. Bunday holda, Snort "SCAN SYN FIN" tizim ma'muriga xabar beradi.
oqim - bu parametr qoidaga transport oqimini tekshirishga imkon beradi. U bir nechta qadriyatlarga ega bo'lishi mumkin, shu jumladan belgilangan, o'rnatilmagan, fuqaroligi bo'lmagan va boshqalar. Bizning misolimizda, qoida o'rnatilgan TCP aloqasi bo'lgan yoki bo'lmagan holda trafikka chaqiriladi.
bayroqlar - Bu juftlik TCP bayroqlarini tekshiradi. Ma'lumki, TCP bayroqlari SYN, FIN, PSH, URG, RST yoki ACK bo'lishi mumkin. Ushbu qoida SYN va FIN (SF) bayroqlari o'rnatilgan va bayt baytlari to'plamida (12) ikkita ajratilgan bit bo'lgan trafikni qidiradi.
mos yozuvlar - Ushbu bo'lim hujum haqida ko'proq ma'lumot olish uchun xavfsizlik ma'lumotlar bazasiga murojaat qilish uchun mo'ljallangan. Bizning misolimizda ushbu hujum haqida ko'proq ma'lumotni araxnidlar ma'lumotlar bazasida, 198-hujumda topishimiz mumkin.
classtype - ma'murga hujumning qaysi turiga urinilganligini tushunishga yordam beradigan barcha qoidalar ko'plab toifalarga bo'lingan. Bizning misolimizda u "tahlil qilishga urinish" deb tasniflanganligini ko'rishimiz mumkin.
Do'stlaringiz bilan baham: |