Snort 入侵偵測系統的核心概念在於使用「規則」來識別可能存在的網路入侵行為。這種方法被歸類為基於攻擊特徵的入侵偵測系統（Signature-Based IDS）。

這篇就來好好介紹一下 Snort 的規則。

本篇大綱
一、Snort 入侵偵測系統的規則
二、規則頭（Rule Header）
三、規則選項（Rule Options）

一、Snort 入侵偵測系統的規則

Snort 倚賴事先建立的規則庫來對封包內容進行比對，以識別任何與規則相符的潛在入侵行為。如果規則的定義不夠明確或不夠完整，將對 Snort 的入侵偵測能力產生直接影響。不過，Snort 提供了開放且高度可自訂的規則撰寫方式，允許用戶根據自身需求創建自己的規則。

Snort 的規則語言設計簡單、靈活且功能強大，遵循一些基本原則即可輕鬆開始使用。
規則通常可分為兩部分，分別為：

• 規則頭（rule header）
• 規則選項（rule options）

這些規則可用於偵測潛在的網路入侵行為。用戶可以根據自身需求撰寫、調整和管理這些規則，以提高網路安全性。

二、規則頭（Rule Header）

規則頭是 Snort 偵測規則的開端，它包含了關於規則本身的基本資訊，這些資訊決定了該規則的工作方式。以下是一些常見的規則頭元素：

1. 動作（Action）

• 動作指定了當規則匹配到一個封包時應該採取的操作。最常見的動作是「alert」，它表示當規則匹配到一個封包時，Snort 將生成一個警報。其他可能的動作包括「log」（僅記錄事件而不警報）和「pass」（允許封包通過而不警報）。

2. 通訊協定（Protocol）

• 通訊協定字段指定了規則要監控的網路協定，例如 TCP、UDP 或 ICMP。

3. 來源和目的位址（Source and Destination Address）

• 這些字段定義了規則要檢查的封包的源位址和目的位址。您可以使用 IP 位址、CIDR 範圍或關鍵字來指定這些位址。

4. 端口（Port）

• 端口字段允許您指定要監控的源端口和目的端口。您可以指定單個端口、一個範圍或一個通配符（例如，any）。

三、規則選項（Rule Options）

規則選項組成了 Snort 入侵偵測引擎中的核心部分，主要是由一個或幾個選項的條件組合。規則選項有四個分類，分述如下：

1. general

• 主要是提供此規則的相關資訊，無關入侵偵測的功能。

2. payload

• 比對資料封包中的內容。

3. non-payload

• 用來比對各種協定的欄位值。

4. post-detection

• 當封包內容比對符合時，除了所定義的動作之外，所採取的其他行動。

這些規則頭和規則選項的組合使 Snort 能夠準確地偵測和識別各種入侵行為和威脅。
管理員可以根據自身網路環境的需求，編寫、調整和管理這些規則，以提高網路的安全性，確保重要資訊和資源不受威脅。
Snort 的強大規則引擎是網路安全的重要防禦工具之一，了解其結構和功能對於有效使用 Snort 至關重要。