iT邦幫忙

2023 iThome 鐵人賽

DAY 21
0
Security

由淺入深,探索 NFV 與入侵偵測系統在其中的應用系列 第 21

[Day21] Snort 入侵偵測系統的核心概念和規則結構

  • 分享至 

  • xImage
  •  

Snort 入侵偵測系統的核心概念在於使用「規則」來識別可能存在的網路入侵行為。這種方法被歸類為基於攻擊特徵的入侵偵測系統(Signature-Based IDS)

這篇就來好好介紹一下 Snort 的規則。

/images/emoticon/emoticon08.gif


本篇大綱
一、Snort 入侵偵測系統的規則
二、規則頭(Rule Header)
三、規則選項(Rule Options)


一、Snort 入侵偵測系統的規則

Snort 倚賴事先建立的規則庫來對封包內容進行比對,以識別任何與規則相符的潛在入侵行為。如果規則的定義不夠明確或不夠完整,將對 Snort 的入侵偵測能力產生直接影響。不過,Snort 提供了開放且高度可自訂的規則撰寫方式,允許用戶根據自身需求創建自己的規則。

Snort 的規則語言設計簡單、靈活且功能強大,遵循一些基本原則即可輕鬆開始使用。
規則通常可分為兩部分,分別為:

  • 規則頭(rule header)
  • 規則選項(rule options)

這些規則可用於偵測潛在的網路入侵行為。用戶可以根據自身需求撰寫、調整和管理這些規則,以提高網路安全性。

二、規則頭(Rule Header)

規則頭是 Snort 偵測規則的開端,它包含了關於規則本身的基本資訊,這些資訊決定了該規則的工作方式。以下是一些常見的規則頭元素:

1. 動作(Action)

  • 動作指定了當規則匹配到一個封包時應該採取的操作。最常見的動作是「alert」,它表示當規則匹配到一個封包時,Snort 將生成一個警報。其他可能的動作包括「log」(僅記錄事件而不警報)和「pass」(允許封包通過而不警報)。

2. 通訊協定(Protocol)

  • 通訊協定字段指定了規則要監控的網路協定,例如 TCP、UDP 或 ICMP。

3. 來源和目的位址(Source and Destination Address)

  • 這些字段定義了規則要檢查的封包的源位址和目的位址。您可以使用 IP 位址、CIDR 範圍或關鍵字來指定這些位址。

4. 端口(Port)

  • 端口字段允許您指定要監控的源端口和目的端口。您可以指定單個端口、一個範圍或一個通配符(例如,any)。

三、規則選項(Rule Options)

規則選項組成了 Snort 入侵偵測引擎中的核心部分,主要是由一個或幾個選項的條件組合。規則選項有四個分類,分述如下:

1. general

  • 主要是提供此規則的相關資訊,無關入侵偵測的功能。

2. payload

  • 比對資料封包中的內容。

3. non-payload

  • 用來比對各種協定的欄位值。

4. post-detection

  • 當封包內容比對符合時,除了所定義的動作之外,所採取的其他行動。

這些規則頭和規則選項的組合使 Snort 能夠準確地偵測和識別各種入侵行為和威脅。
管理員可以根據自身網路環境的需求,編寫、調整和管理這些規則,以提高網路的安全性,確保重要資訊和資源不受威脅。
Snort 的強大規則引擎是網路安全的重要防禦工具之一,了解其結構和功能對於有效使用 Snort 至關重要。
/images/emoticon/emoticon78.gif


上一篇
[Day20] Snort 模式解析:封包監聽、封包記錄、NIDS 和 Inline
下一篇
[Day22] 探索異常行為特徵分析的關鍵元素
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言