信息安全工程師案例分析真題考點：snort規(guī)則

snort 每條規(guī)則都可以分成邏輯上的兩個部分：規(guī)則頭(header)和規(guī)則選項(General Option)

從開頭到括號前屬于規(guī)則頭部分，括號內(nèi)的部分屬于規(guī)則選項。規(guī)則選項中冒號前面的詞叫做選項關(guān)鍵詞(option keywords)。如果許多選項組合在一起，它們之間是邏輯與的關(guān)系。

▼規(guī)則頭(header)

●規(guī)則行為(rule’s action)：告訴snort在發(fā)現(xiàn)匹配規(guī)則的包時要干什么。Snort中有alert、log、pass這3個可用的默認操作，此外，如果您在內(nèi)聯(lián)模式下運行Snort，則有其他選項，包括drop、reject和sdrop。

alert：使用選定的警報方法生成警報，然后記錄數(shù)據(jù)包

log：記錄數(shù)據(jù)包

pass：忽略數(shù)據(jù)包

drop：丟棄并記錄數(shù)據(jù)包

reject：阻止數(shù)據(jù)包，記錄它，然后發(fā)送TCP重置(如果協(xié)議是TCP)或ICMP端口不可訪問消息(如果協(xié)議是UDP)

sdrop：阻止數(shù)據(jù)包，但不記錄它

●協(xié)議(protocol)：當前支持的協(xié)議有四種：tcp、udp、icmp和IP

●IP地址：關(guān)鍵詞any可以用來定義任意的IP地址，所以地址只能使用數(shù)字/CIDR的形式。

●端口： 在規(guī)則中，可以有幾種方式來指 定端口號，包括：any、靜態(tài)端口號(static port)定義、端口范圍，以及使用非操作定義。any表示任意合法的端口號;靜態(tài)端口號表示單個的端口號。

關(guān)鍵字any——可用于定義合法端口

單一數(shù)字——靜態(tài)端口，例如23代表telnet

單一數(shù)字：——大于等于該端口

：單一數(shù)字——表示小于端口號

單一數(shù)字——單一數(shù)字：端口范圍

!——表示非該范圍端口

●方向操作符： 方向操作符->表示數(shù)據(jù)包的流向。它左邊是數(shù)據(jù)包的源地址和源端口，右邊是目的地址和端口。此外，還有一個雙向操作符<>,它使snort對這條規(guī)則中，兩個IP地址/端口之間雙向的數(shù)據(jù)傳輸進行記錄/分析。

->：單向發(fā)送

<>： 雙向交互

▼規(guī)則選項(options)：通常包括一個msg(報警消息)作為提示信息，以及包的哪一個部分滿足什么條件會觸發(fā)規(guī)則，規(guī)則選項有42種關(guān)鍵字。語法為關(guān)鍵字：變量，關(guān)鍵字之間用;分隔。

▼其他概念：

Includes：include允許由命令行指定的規(guī)則文件包含其他的規(guī)則文件。

Variables：變量可能在snort中定義

Config：Snort的很多配置和命令行選項都可以在配置文件中設(shè)置。

相關(guān)真題：2021年信息安全工程師下午案例分析真題，第一大題，問題5第(5)問【針對圖1-2所示的網(wǎng)絡分組，李工查看了該攻擊對應的Snort檢測規(guī)則，以更好地掌握Snort 入侵檢測系統(tǒng)的工作機制。請完善以下規(guī)則，填充空(a)、(b)處的內(nèi)容。(a) tcp any any -> any any (msg:"XXX";content:" (b)";nocase;sid:1106;)】