Различия

Здесь показаны различия между двумя версиями данной страницы.

--- wiki:snort [2015/04/11 13:46]
[Ссылки]
+++ — (текущий)
@@ Строка 1: / Строка 1: @@
- --- [[user>Dt-13]] //2015/03/30 11:10//
-====== SNORT® - Руководство пользователя ======
-Copyright c 1998-2003 Martin Roesch\\
-Copyright c 2001-2003 Chris Green\\
-Copyright c 2003-2013 Sourcefire, Inc.\\
-Copyright c 2014 Cisco and/or its affiliates. All rights reserved.\\
-====== Cодержание ======
-==== 1. Обзор Snort - 9 ====
-Это руководство основано на Writing Snort Rules by Martin Roesch и дальнейшей работы с Chris Green <cmg@snort.org>. Оно разработано Brian Caswell <bmc@snort.org> и сейчас поддерживается Snort Командой. Если у вас есть что то, что можно сказать лучше или Вы нашли что то, что устарело в документации, напишите нам, и мы обновим его. Если вы хотели бы представить патчи для этого документа, вы можете найти самую свежую версию документации,
-в формате LATEX в самый низу архива по пути /doc/snort_manual.tex. Небольшие обновления документации являются - Самый простой способ помочь Snort проекту.
-=== 1.1 Начало работы - 9 ===
-Snort в действительности не очень сложно использовать, но есть много опций командной строки для работы с ним, ..... Этот документ имеет цель сделать использование Snort проще для новых пользователей.
-Snort может быть настроен для работы
-в трех режимах:
-  * Sniffer mode - просто читает пакеты сети и отображает их в непрерывный поток на консоли.
-  * Packet Logger mode - записывает пакеты на диск.
-  * Network Intrusion Detection System (NIDS) mode - Система обнаружения вторжений (NIDS), выполняет обнаружение и анализ сетевого трафика. Это самый сложный и настраиваемый режим.
-=== 1.2 Sniffer mode - 9 ===
-Основы. Просто распечатать TCP/IP заголовки пакетов на экране (т.е. режим сниффер):
-<code>
-./snort -v
-</code>
-Эта команда запустит Snort и и просто выведет IP и заголовки TCP/UDP/ICMP, больше ничего.
-Увидеть пакетные данные и заголовки:
-<code>
-./snort -vd
-</code>
-Еще более наглядный дисплей покажет заголовки канального уровня:
-<code>
-./snort -vde
-</code>
-Переключатели командной строки могут быть перечислены отдельно или в комбинированном виде, чтобы получить тот же результат
-<code>
-./snort -d -v -e
-</code>
-=== 1.3 Пакет Logger Mode - 10 ===
-Для записи пакетов на диск, необходимо указать директорию для .log:
-<code>
-./snort -dev -l ./log
-</code>
-Конечно, это предполагает, что у Вас есть директория с именем log в текущем каталоге. Если нет, Snort выдаст с сообщение об ошибке. Когда Snort работает в этом режиме, он собирает каждый пакет и помещает его в директории log\ip-адрес-хоста.
-Если указать ключ -l, Snort может использовать адрес удаленного компьютера в качестве каталога, в котором он ставит пакеты, а может - адрес локального хоста. Для того, чтобы что бы указать Snort где домашняя сеть, нужно прописать ее:
-<code>
-./snort -dev -l ./log -h 192.168.1.0/24
-</code>
-Это правило скажет Snort, что необходимо сохранить данные канала передачи данных и заголовков TCP/IP, а также данные приложения в
-Каталог ./log , относительно класса С сети 192.168.1.0. Все входящие пакеты будут записаны в подкаталогах каталога log, с именами каталогов, основываясь на ip-адресе (не 192.168.1 ) хоста.
-<note>Обратите внимание, что если оба, .....КОРЯВО - ПРОДУМАТЬ</note>
-Если у Вас высокая скорости сети , или вы хотите , чтобы пакеты записывались в более компактной форме для последующего анализа - записывайте пакеты в двоичном режиме: пакеты регистрируются в формате TCPDump:
-<code>
-./snort -l ./log -b
-</code>
-Примечание: здесь не нужно указывать домашнюю сеть, потому что двоичном режиме все регистрируется в одном файле, что исключает необходимость формировать структуру каталогов. Кроме того, не рекомендуется работать в подробном режиме, лучше использовать опции -d и -e, потому что в двоичном режиме логируются все входящие пакеты, а не только секции. Все, что нужно сделать, чтобы запустить Snort в режиме логирования - указать каталог с параметрами -l - -b, двоичный переключатель, поскольку по умолчанию формата вывода ASCII text - текстовый.
-Двоичный файл, можно прочитать любым анализатором сетевых пакетов, поддерживающих TCPDump двоичный формат (например tcpdump or Ethereal) . Snort также может прочитать пакеты с помощью ключа -r , который ставит его в режим воспроизведения. Пакеты из TCPDump файла могут быть обработаны с помощью Snort
-в любом из его режимов. Например, что бы запустить бинарный файл лога через Snort в sniffer mode с выводом пакетов на экран, можно попробовать что-то вроде этого:
-<code>
-./snort -dv -r packet.log
-</code>
-Можно управлять данными файла различными способами, посредством Snort’s packet logging and intrusion detection modes, а также с BPF interface - доступной из командной строки. Например, если только посмотреть ICMP пакеты из log файлов, просто указать BPF фильтр в командной строке и Snort будет видеть только
-ICMP пакеты:
-<code>
-./snort -dvr packet.log icmp
-</code>
-Для получения дополнительной информации о том, как использовать интерфейс BPF, читать Snort и TCPDump  tcpdump man.
-=== 1.4 Режим Сеть - Система обнаружения вторжений - 11 ===
-Режим системы обнаружения вторжений - Network Intrusion Detection System (NIDS) включается:
-<code>
-./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
-</code>
-где snort.conf имя файла конфигурации Snort и он будет применять правила, настроенные в snort.conf к к каждому пакету, чтобы решить, какие должны быть приняты меры (если должны быть приняты) в зависимости от типа правила в файле. Если не указан каталог для вывода программы, то по умолчанию будет /var/log/snort.
-<note>Если Snort будет использоваться в течение длительного срока, как IDS, -v ключ должен быть опущен в командной строке ради скорости. Данные на экран будут выводиться медленно и пакеты могут быть отброшены во время вывода на дисплей. Также можно не записывать заголовки для большинства приложений - опустить параметр -e.\\ <code>./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf</code></note>
-Это основные настройки Snort для работы в NIDS входящих пакетов, согласно правилам, указанным в snort.conf с логированием в текстовый файл на диск, используя иерархическую структуру каталогов (так же, как в Logger Mode) .
-== 1.4.1 Режим обнаружение вторжений - Параметры вывода - 11 ==
-Есть несколько способов настроить вывод Snort в режиме NIDS. По умолчанию механизмы логирования и оповещения включены в формате ASCII и используют полные уведомления. Механизм, обеспечивающий вывод оповещения выводит предупреждающее сообщение, кроме полного заголовков пакетов. Есть несколько других режимов вывода предупреждений доступные в командной строке.
-Есть семь режимов доступных в командной строке. Шесть из этих режимов доступны с параметром командной строки -A. Возможные варианты (опция-название-описание):
--A fast - Быстрый режим оповещения - Записывает предупреждение в простом формате с меткой времени, само предупреждающее сообщение, отправителя (источник) и получателя (назначение) в виде IP-адрес/Порт.
--A full - Режим полной боевой готовности -  Этот режим по умолчанию и будет использоваться автоматически, если не указаны другие режимы.
--A unsock - Сокеты - Отправка предупреждений на UNIX сокеты, что  может прослушивать другая программа.
--A none - Syslog - Выключение предупреждений.
--A console - Консоль - Включает "fast-style" (быстрый стиль) оповещения на консоль (экран).
--A cmg - CMG
-and none - и нет
-Пакеты могут быть записаны в формате по умолчанию ASCII или двоичном формате с помощью -b опции командной строки. Чтобы отключить протоколирование логов в целом, используется параметр -N командной строки.
-Для режимов вывода доступен вывод через файл конфигурации - раздел 2.6.
-<note>Параметр командной строки override any отменяет любые параметры вывода, указанные в файле конфигурации. Это позволяет отлаживать проблемы конфигурации быстро с помощью командной строки .</note>
-Для отправки уведомлений в системный журнал, используется параметр -s. По умолчанию для механизма Syslog оповещения являются LOG AUTHPRIV журнала предупреждений. Если вы настраиваете другие средства для системного журнала syslog output, используйте output plugin и команды в
-snort.conf . Более подробная информации о настройке системного журнала syslog output - раздел 2.6.1.
-Например, можно использовать следующую командную строку для логирования по умолчанию (ASCII) и отправки alerts-уведомления в Syslog:
-<code>
-./snort -c snort.conf -l ./log -h 192.168.1.0/24 -s
-</code>
-Еще пример, использовать следующую командную строку для логирования по умолчанию в /var/log/snort и отправки alerts-уведомления в fast alert файл:
-<code>
-./snort -c snort.conf -A fast -h 192.168.1.0/24
-</code>
-<note warning>НЕ ВСЕ 7 РЕЖИМОВ ОПИСАНЫ</note>
-== 1.4.2 Понимание стандартного вывода alert-сообщения - 12 ==
-Snort создает alert-сообщение, как правило, в таком виде:
-<code>
-[**] [116:56:1] (snort_decoder): T/TCP Detected [**]
-</code>
-Первое число Generator ID, говорит пользователю, какой компонент Snort создал это предупреждение. Для получения списка GID`s, прочитайте /etc/generators в источнике Snort. В данном примере, событие произошло от "Decode" (116) компонента Snort.
-Второе число является идентификатором Snort (Snort ID, или Signature ID, или Подпись ID). Для получения списка препроцессора SID, смотрите /etc/gen-msg.map. На основе базовых правил идентификаторы записываются непосредственно в правила с SID опциями. В данном случае, число 56 представляет T/TCP событие.
-Третье число - номер ревизии ID. Это число используется в основном при написании подписи, и при каждом исполнении правило должно увеличить это число.
-== 1.4.3 Высокая настройка производительности - 12 ==
-<note warning>ПОКА ВСЕ, ПЕРЕКУР</note>
-== 1.4.4 Изменение Allert Order - 13 ==
-=== 1.5 Пакет Приобретение - 13 ===
-== 1.5.1 Конфигурация - 13 ==
-== 1.5.2 PCAP - 14 ==
-== 1.5.3 AFPACKET - 15 ==
-== 1.5.4 NFQ - 15 ==
-== 1.5.5 IPQ - 16 ==
-== 1.5.6 IPFW - 16 ==
-== 1.5.7 Сброс - 16 ==
-== 1.5.8 Статистика изменений - 17 ==
-=== 1.6 Чтение Pcap файлы - 17 ===
-== 1.6.1 аргументы командной строки - 17 ==
-== 1.6.2 Примеры - 17 ==
-=== 1.7 Основные Выходная - 19 ===
-== 1.7.1 Временные статистика - 19 ==
-== 1.7.2 Пакетные I / O итоги - 19 ==
-== 1.7.3 Протокол статистика - 20 ==
-== 1.7.4 Snort Статистика памяти - 21 ==
-== 1.7.5 Действия , пределы, и вердикты - 21 ==
-=== 1.8 Tunneling Protocol Support - 22 ===
-== 1.8.1 Несколько инкапсуляции - 23 ==
-== 1.8.2 Ведение протоколов - 23 ==
-=== 1.9 Разное - 23 ===
-== 1.9.1 Запуск Snort в качестве демона - 23 ==
-== 1.9.2 Запуск в правиле режиме создания заготовки - 24 ==
-== 1.9.3 Сокрытие IP-адресов распечаток - 24 ==
-== 1.9.4 устанавливать идентификаторы Несколько инстанции - 24 ==
-== 1.9.5 Snort режимы их использования - 25 ==
-=== 1.10 Контроль гнезда - 26 ===
-=== 1.11 Значение Настройка сигнала - 26 ===
-=== 1.12 Дополнительная информация - 27 ===
-==== 2 Настройка Snort - 28 ====
-=== 2.1 Включает в себя - 28 ===
-== 2.1.1 Формат - 28 ==
-== 2.1.2 Переменные - 28 ==
-== 2.1.3 Config - 31 ==
-,2 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 40
-.2.1 Frag3. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 40
-.2.2 Сессия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 43
-.2.3 Поток. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 45
-.2.4 sfPortscan. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 49
-.2.5 RPC Decode. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 55
-.2.6 Performance Monitor. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 55
-.2.7 HTTP Проверьте. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 60
-.2.8 SMTP Preprocessor. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 75
-.2.9 POP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 80
-.2.10 IMAP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 83
-.2.11 FTP / Telnet Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 85
-.2.12 SSH. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 91
-.2.13 DNS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 93
-.2.14 SSL / TLS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 93
-.2.15 ARP Spoof Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 95
-.2.16 DCE / RPC 2 Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 96
-.2.17 Чувствительный Препроцессор данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 111
-.2.18 нормализатор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 113
-.2.19 SIP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 116
-.2.20 Репутация Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 122
-.2.21 GTP Decoder и Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 126
-.2.22 Modbus Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 134
-.2.23 DNP3 Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 137
-.2.24 AppId Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 140
-.3 декодер и препроцессора Правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 144
-.3.1 Настройка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 145
-.3.2 Возврат в исходное поведения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 145
-.4 Обработка событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 146
-.4.1 Скорость фильтрования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 146
-.4.2 Фильтрация событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 148
-.4.3 Подавление событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 150
-.4.4 Журнал событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 151
-.4.5 трассировки событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152
-,5 профилирование производительности. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152
-,5 профилирование производительности. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152
-.5.1 Правило профилирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 153
-.5.2 Препроцессор профилирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 154
-.5.3 Мониторинг Пакет Performance (PPM). , , , , , , , , , , , , , , , , , , , , , , , , , , , , 157
-,6 выходные модули. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 160
-.6.1 оповещения Syslog. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 160
-.6.2 предупреждение быстро. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 162
-.6.3 оповещения полном объеме. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 162
-.6.4 оповещения unixsock. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163
-.6.5 Журнал ТСРйитр. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163
-.6.6 CSV. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163
-.6.7 единая 2. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 165
-.6.8 Журнал нулю. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 167
-.6.9 Пределы Журнал. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168
-.7 Принимающая Таблица атрибутов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168
-.7.1 Формат конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168
-.7.2 Атрибут Формат файла таблицы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168
-.7.3 Таблица атрибутов пример. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 170
-,8 Динамические модули. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172
-.8.1 Формат. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172
-.8.2 Директивы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172
-.9 Перезагрузка конфигурации Snort. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173
-.9.1 Включение поддержки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173
-.9.2 Перезагрузка конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173
-.9.3 Номера пополняемые параметры конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 174
-.10 Несколько конфигураций. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 175
-.10.1 Создание нескольких конфигураций. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 175
-.10.2 конфигурации конкретных элементов. , , , , , , , , , , , , , , , к по ссылк, , , , , , , , , , , , , , , , , 176
-.10.3 Как Конфигурация применяется? , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 177
-.11 активным откликом. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 177
-.11.1 Включение активный отклик. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 178
-.11.2 Настройка снайперов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 178
-.11.3 Flexresp. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 179
-.11.4 React. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 179
-.11.5 Правило действия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 180
-Написание Snort Правила 181
-.1 Основы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181
-,2 Правила заголовки. , , , , , , , , , , , , , , , , , , , , , , , , ,к по ссылк , , , , , , , , , , , , , , , , , , , , , 181
-.2.1 Правило действия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181
-.2.2 Протоколы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 182
-.2.3 IP-адреса. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 182
-.2.4 Номера портов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 183
-.2.5 Направление Оператор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 183
-.2.6 Включение / Динамические правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 184
-,3 Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 184
-,4 Опции общее правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185
-,4 Опции общее правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185
-.4.1 сообщ. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185
-.4.2 справка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185
-.4.3 GID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 186
-.4.4 SID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 186
-.4.5 Rev. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 187
-.4.6 ClassType. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 187
-.4.7 приоритетом. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 188
-.4.8 метаданных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 189
-.4.9 Общее правило Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 189
-,5 Грузоподъемность обнаружения опций правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 190
-.5.1 Содержание. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 190
-.5.2 защищенного содержимого. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 191
-.5.3 хэш. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192
-.5.4 Длина. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192
-.5.5 nocase. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192
-.5.6 rawbytes. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193
-.5.7 глубину. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193
-.5.8 смещения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193
-.5.9 Расстояние. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 194
-.5.10 изнутри. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 194
-.5.11 HTTP-клиент тело. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 195
-.5.12 HTTP Cookie. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 195
-.5.13 HTTP сырье печенья. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 196
-.5.14 HTTP заголовков. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 196
-.5.15 HTTP сырой заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197
-.5.16 HTTP метод. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197
-.5.17 HTTP URI. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197
-.5.18 HTTP сырье URI. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 198
-.5.19 HTTP стат код. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 198
-.5.20 HTTP стат сообщ. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 199
-.5.21 HTTP кодирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 199
-.5.22 быстро рисунок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 200
-.5.23 uricontent. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 201
-.5.24 urilen. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 202
-.5.25 isdataat. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 203
-.5.26 PCRE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 203
-.5.27 ПКТ данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 205
-.5.28 данные файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 206
-.5.29 base64 декодирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 206
-.5.30 base64 данные. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 207
-.5.31 байт тест. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 207
-.5.32 байт прыгать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 209
-.5.33 экстракт байт. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 210
-.5.34 ftpbounce. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 211
-.5.35 ASN1. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 212
-.5.36 CVS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 212
-.5.37 DCE IFACE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.38 DCE opnum. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.39 DCE данные заглушки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.40 SIP метод. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.41 глоток стат код. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.42 SIP заголовка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.43 глоток тело. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.44 тип GTP. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213
-.5.45 GTP Информация. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214
-.5.46 GTP версия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214
-.5.47 SSL версии. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214
-.5.48 SSL состояние. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214
-.5.49 полезной нагрузки Обнаружение Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214
-,6 относящейся к полезной нагрузке обнаружения Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215
-.6.1 fragoffset. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215
-.6.2 TTL. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215
-.6.3 ГС. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 216
-.6.4 ID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 216
-.6.5 ipopts. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 217
-.6.6 fragbits. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 217
-.6.7 dsize. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 218
-.6.8 флаги. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 218
-.6.9 потока. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 219
-.6.10 flowbits. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 220
-.6.11 след. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 223
-.6.12 ACK. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 223
-.6.13 окно. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224
-.6.14 IType. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224
-.6.15 ICODE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224
-.6.16 ICMP ID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 225
-.6.17 ICMP след. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 225
-.6.18 RPC. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226
-.6.19 IP прото. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226
-.6.20 sameip. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226
-.6.21 поток сборку. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 227
-.6.22 Размер потока. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 227
-.6.23 Номера для полезной нагрузки Обнаружение Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , 228
-,7 после обнаружения Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 228
-.7.1 logto. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 228
-.7.2 сессия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229
-.7.3 соответственно. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229
-.7.4 реагировать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229
-.7.5 тегов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229
-.7.6 активируется. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231
-.7.7 активируется. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231
-.7.8 граф. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231
-.7.9 заменить. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231
-.7.10 фильтр обнаружения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231
-.7.11 После обнаружения Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 232
-,8 Правило Пороги. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 232
-,9 Написание хороших правил. , , , , , , , , , , , , , , , ,5 Snort развития 255
-.1 Отправка патчей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255
-.2 Snort потока данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255
-.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255
-.2.2 Обнаружение плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-.2.3 Выходные плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-,3 Unified2 формат файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-.3.1 Серийный Unified2 заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-.3.2 Unified2 пакет. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257
-.3.3 Unified2 IDS Event. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257
-.3.4 Unified2 IDS Event IP6. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257
-.3.5 Unified2 IDS Event (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258
-.3.6 Unified2 IDS Event IP6 (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258
-.3.7 Unified2 дополнительных данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259
-.3.8 Описание полей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259
-.4 Snort Команда. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 263 , , , , , , , , , , , , , , , , , , , , , , , , , , , 234
-.9.1 Содержание Matching. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 234
-.9.2 Поймайте Уязвимость, не эксплуатировать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , 234
-.9.3 Поймать странности протокола в правиле. , , , , , , , , , , , , , , , , , , , , , , , , , 234
-.9.4 Оптимизация правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 235
-.9.5 Тестирование числовых значений. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 236
-Dynamic Modules 239
-,1 структур данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239
-.1.1 DynamicPluginMeta. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239
-.1.2 DynamicPreprocessorData. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239
-.1.3 DynamicEngineData. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 240
-.1.4 SFSnortPacket. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 240
-.1.5 Динамические правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 241
-.2 Требуемые функции. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 247
-.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 248
-.2.2 Detection Engine. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 248
-.2.3 Правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250
-,3 Примеры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250
-.3.1 Препроцессор Пример. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250
-.3.2 Правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 252
-Snort развития 255
-.1 Отправка патчей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255
-.2 Snort потока данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255
-.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255
-.2.2 Обнаружение плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-.2.3 Выходные плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-,3 Unified2 формат файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-.3.1 Серийный Unified2 заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256
-.3.2 Unified2 пакет. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257
-.3.3 Unified2 IDS Event. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257
-.3.4 Unified2 IDS Event IP6. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257
-.3.5 Unified2 IDS Event (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258
-.3.6 Unified2 IDS Event IP6 (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258
-.3.7 Unified2 дополнительных данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259
-.3.8 Описание полей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259
-.4 Snort Команда. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 263
-===== Ссылки =====
-. Оригинал руководства - Snort Setup Guides (english), здесь: https://snort.org/documents. Делает переадресовку на https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/051/original/snort_manual.pdf
-. Отдельные материалы по теме:
-  * проект Autosnort - установка Snort по сценарию (english), здесь: https://github.com/da667/Autosnort
-  * использование полностью настроенного LiveCD, как EasyIDS (english), здесь: http://www.skynet-solutions.net/About-EasyIDS
-. Интересно по теме:
-. Видео по теме:  .
-. Обсуждение на форуме:  http://forum.ubuntu.ru/index.php?topic=259777.0 .
- * [[FIXME]]
-{{tag>snort}}

wiki:snort Сравнение версий

Различия