编写 snort 规则检测 络攻击
- 1. snort 规则
- 2. 编写三个 snort 规则
- 3. 开启 snort 和 barnyard2
1. snort 规则
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的
动作,协议,源和目标 ip 地址与 络掩码,以源和目标端口信息; 规则选项
部分包含 警消息内容和要检查的包的具体部分。
Alert:使用选择的 警方法生成一个警 ,然后记录(log)这个包。 Alert
动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式,
例如可以发送到文件或者控制台。
Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。
2. 编写三个 snort 规则
- 当它检测到电脑被大数据包攻击时,会发出一个 警
- 当它检测到电脑被 页访问时,会发出一个 警
- 当它检测到电脑被泛洪攻击时,会发出一个 警
具体编写内容如下图所示:
首先,运行命令 sudo gedit /etc/snort/rules/local.rules 打开文件:写入规则。
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22321 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!