Snort规则编写
今天主要来讲一下Snort中的规则编写规则,还有些绕口,就是编写他们的rules的方法,可以帮助我们理解他们提供的rules和定义我们自己的rules。
首先我们来看一条规则
其中括 之前的部分,我们称之为规则头,括 里面的内容,我们称之为规则选项。
规则头
拿上一条规则举例
| 关键字 | 含义 |
|---|---|
| general | 基本信息,并不对流量产生任何行为 |
| payload | 对数据流的有效载荷进行查找,可进行多数据关联查找 |
| non-payload | 非数据载荷查找 |
| post-detection | 对检测出的特定的规则进行关联触发 |
general类型
| 关键字 | 含义 |
|---|---|
| msg | 向日志和警 引擎告知要打印的消息以及数据包转储或警 ,它是一个简单的文本字符串,利用作为转义字符来表示离散的字符,否则这些字符可能会使Snort的规则解析器感到困惑(例如分 ; 字符) |
| reference | 允许规则引用外部攻击识别系统,简单来说就是允许带一些参数,这个参数能够被其他攻击检测系统识别调用,方便了消息联动 |
| gid | 用来表示是Snort的哪个子系统产生了这次触发,建议使用从1000000开始的值。对于一般规则的编写,不建议使用gid关键字。此选项应与sid关键字一起使用 |
| sid | 用于唯一标识Snort规则此信息允许输出插件识别规则,常与rev关键字一起使用,文件sid-msg.map包含警 消息到Snort规则ID的映射。在对警 进行后期处理以将ID映射到警 消息时,此信息非常有用。 |
| lt;100保留供将来使用 | |
| nort发行版中包含100-999999条规则 | |
| gt;=1000000用于当地规则 | |
| rev | 用来唯一标识规则版本,和sid一起用 |
| classtype | snort根据其默认的规则文件,将攻击进行相应分类,并具有不同的优先级,1-4,1最高,规则分类被定义在classification.config文件中。(优先级1(高)是最严重的,优先级4(非常低)是最不严重的。) |
| priority | 规则指定严重性级别 |
| metadata | 元数据标记允许规则编写器嵌入有关规则的附加信息,通常采用键值格式 |
下付英文原版定义
non-payload类型
| 关键字 | 含义 |
|---|---|
| fragoffset | 允许将IP片段偏移量字段与十进制值进行比较 |
| ttl | 用于检查IP生存时间值 |
| tos | 用于检查IP tos字段中的特定值 |
| id | 用于检查IP id字段中的特定值 |
| ipopts | 用于检查是否存在特定的IP选项 |
| fragbits | 用于检查IP标头中是否设置了碎片和保留位 |
| dsize | 用于测试数据包有效负载大小 |
| flags | 用于检查是否存在特定的TCP标志位 |
| flow | 允许规则仅应用于交通流的特定方向 |
| flowbits | 允许规则在传输协议会话期间跟踪状态 |
| seq | 用于检查特定的TCP序列 |
| ack | 用于检查特定的TCP确认 |
| window | 用于检查特定的TCP窗口大小 |
| itype | 用于检查特定ICMP类型值 |
| icode | 用于检查特定ICMP代码值 |
| icmp_id | 用于检查特定的icmp id值 |
| icmp_seq | 用于检查特定icmp序列值 |
| rpc | 用于检查SUNRPC调用请求中的rpc应用程序、版本和过程 |
| ip_proto | 允许对ip协议头进行检查 |
| sameip | 允许规则检查源ip是否与目标ip相同 |
下付英文原版
我是当年的省前十名,所以入学的时候有5000元的新生二等奖学金,同时我也有5000元的助学金,最后,我一般每一年会从学院不同名义的企业类型的奖学金中获得一种,大约是3000元。
这就是我一年的全部,扣掉6500的学杂费,我恰好还剩下一半的钱,也就是6500元。我给自己的任务就是花一半的钱,留下一半的钱买电脑,买必须要用的电子设备。3200元分到8个月,一个月就是400元——我在大一入学的时候给自己算了这样一笔账,我知道,我每个月只能花400元。
整篇文章虽然看上去描写的很艰苦,但是他表达出来的并不是一种自卑或者痛苦,而是一种感恩并且积极乐观。
有一道菜我特别爱吃:糖醋肉,黄黄的,黏黏的,里面也有胡萝卜,有肉有菜,关键1份只要4元钱。我最后都是拿米饭把盘子沾干净吃掉,每次吃完都特别满足,感觉好好吃啊。现在那道菜也还有,你们可以去尝尝,真的很好吃。
我们学校的校训是:自强不息,厚德载物。我不知道大家如何理解这句话。我认为,厚德载物就是说,我们所得到的一切, 应该有相应的德行去支撑。
直到今天我也认为上天是眷顾我的,我的家里人都身体健康,不需要我去照顾,我遇到了很多优秀的同学和老师。是所有人一起的努力才帮助我找到如今的工作,开始未来的生活。
我接受了这一切,那么我就该做出相应的回 ,匹配我的德行,去资助像我一样的孩子,我想这就是未来我要做的。
我在读这篇文章的时候,正好是在11.10的晚上,各大电商在冲击双十一销售额过亿,大家都在算计满减优惠秒杀,有人会说:有点像朱门酒肉臭,路有冻死骨的感觉。
不过我觉得有些相反。
那些半夜抢购的女人,都是在给男人省钱。
略表心意,让那些孩子能多读些书,虽然无法体会外边的世界,但是也要知道外边的世界,充满了希望。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!