Snort的使用二：入侵检测与规则编写

朴灿烈づ我的快乐病毒、 2023-06-19 02:24 29阅读 0赞

### 文章目录 ###

*  一、规则语法简述
 *   *  1、语法分析
     *  2、响应机制
     *  3、可选项内容
 *  二、规则编写示例
 *   *  1、ping警报
     *  2、TCP admin字段警报
     *  3、80端口监控
 *  三、入侵检测实验
 *   *  1、修改配置文件
     *  2、入侵检测示例

# 一、规则语法简述 #

## 1、语法分析 ##

以下面规则为例进行解释：

alert icmp any any <> $HOME_NET any (logto:"task1"; msg:"————————————ICMP ping————————————"; sid:100000001)

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70]

## 2、响应机制 ##

Snort对规则的响应机制有：

> 1、alert 警报并记录  
> 2、pass 忽略  
> 3、log 记录  
> 4、activation 报警并启动另一个动态规则链  
> 5、dynamic 由其他规则包调用

## 3、可选项内容 ##

Snort可选项内容有以下：

> msg 在警报和记录的数据中打印消息。  
> logto 将数据包记录到一个用户指定的文件 中。  
> ttl 检测 IP 数据包的 TTL 域。  
> id 检测 IP 数据包的分段 ID 域是否等于特定 的值。  
> dsize 检测数据包的有效荷载是否等于特定 的值。  
> content 在数据包的有效荷载重搜索特定的模 式串。  
> offset 设定 content 中所说的起点。  
> depth 设定 content 中所说的终点。  
> nocase 设定搜索中使用与大小写无关的方 式。  
> flags 检测 TCP 数据包的标志是否等于特定的 值。  
> seq 检测 TCP 的顺序号是否对于特定的值。  
> ack 检测 TCP 的应答域否对于特定的值。  
> itype 检测 ICMP 类型域是否等于特定的值。  
> icode 检测 ICMP CODE域是否等于特定的值。  
> session 将应用层中一个指定的会话总的数据 复制出来。  
> icmp id 检测 ICMP ECHO ID 域是否等于特 定的值。  
> icmp seq 检测 ICMP ECHO 顺序号是否等于 特定的值。  
> ipoption 检测 IP 数据包中的协议头部的选项 部分是否存在特定值。  
> rpc 检测 RPC服务的特定应用。  
> resp 主动应答。

# 二、规则编写示例 #

## 1、ping警报 ##

alert icmp any any <> $HOME_NET any (logto:"task1"; msg:"————————————ICMP ping————————————"; sid:100000001)

双向警报，凡是ping包（即icmp协议），警报并记录。

## 2、TCP admin字段警报 ##

alert TCP any any <> $HOME_NET any (logto:"task2"; msg:"————————————TCP————————————"; content:"admin"; sid:100000002)

凡是TCP包中包含"admin"字段的，警报并记录。

## 3、80端口监控 ##

alert TCP any any -> $HOME_NET 80 (logto:"task3"; msg:"————————————TCP 80————————————"; sid:100000003)

凡是访问主机80端口的TCP包，警报并记录。

# 三、入侵检测实验 #

*  环境：win7 192.168.88.192

## 1、修改配置文件 ##

1）打开Snort的配置文件：Snort -> etc -> snort.conf  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 1]  
由于该配置文件是基于linux，因此需要进行一些改动。

*  **注：以下是我修改好的适用于Windows的配置文件，和编写的3条测试规则，可直接下载配置文件进行替换。**

2）下载并替换配置文件

*  **配置文件**：[https://pan.baidu.com/s/1GIpExdtJEtAPdyA2WSfz1A][https_pan.baidu.com_s_1GIpExdtJEtAPdyA2WSfz1A]

3）下载或新建规则文件，后缀为 .rules ，新建规则后保存进自定义目录（建议Snort -> rules 目录）。

*  **规则文件**：[https://pan.baidu.com/s/1QLahEcQS0FkR6j5MtvOviA][https_pan.baidu.com_s_1QLahEcQS0FkR6j5MtvOviA]

![在这里插入图片描述][2019120423302166.jpg]

*  也可在官网下载规则文件集：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 2]  
4）打开新的配置文件，找到 var HOME\_NET ，将后边的ip替换为自己所在的局域网  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 3]  
5）找到 site specific rules ，将下边的导入规则文件改为自己的规则文件路径  
![在这里插入图片描述][20191204232258995.jpg]  
全部保存即可。

## 2、入侵检测示例 ##

在此只做简单测试。

配置文件及规则文件无误后，输入以下命令执行配置文件并进行入侵检测：**Snort -dve -i1 -l c:\\snort\\log -c c:\\snort\\etc\\snort.conf**  
![在这里插入图片描述][20191204233511608.jpg]  
当出现以下语句即执行成功  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 4]  
使用该主机随意访问网页，此时log文件夹下已有入侵检测日志文件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 5]  
查看内容，报警信息即为设定的msg内容，协议为TCP  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 6]  
可自行编写规则进行入侵检测。

*链接：*[*Snort的使用一：安装、嗅探与记录*][Snort]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20191204192258679.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20191204230516704.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[https_pan.baidu.com_s_1GIpExdtJEtAPdyA2WSfz1A]: https://pan.baidu.com/s/1GIpExdtJEtAPdyA2WSfz1A
[https_pan.baidu.com_s_1QLahEcQS0FkR6j5MtvOviA]: https://pan.baidu.com/s/1QLahEcQS0FkR6j5MtvOviA
[2019120423302166.jpg]: https://img-blog.csdnimg.cn/2019120423302166.jpg
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20191204234359245.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20191204231949954.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[20191204232258995.jpg]: https://img-blog.csdnimg.cn/20191204232258995.jpg
[20191204233511608.jpg]: https://img-blog.csdnimg.cn/20191204233511608.jpg
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/20191204234008705.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 5]: https://img-blog.csdnimg.cn/20191204234140761.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 6]: https://img-blog.csdnimg.cn/20191204234155824.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[Snort]: https://blog.csdn.net/qq_43968080/article/details/103376873