Это старая версия документа.

Содержание

SNORT® - Руководство пользователя
Cодержание
- - 1. Обзор Snort - 9
  - 2 Настройка Snort - 28
- Ссылки

— Dt-13 2015/03/30 11:10

SNORT® - Руководство пользователя

Copyright c 1998-2003 Martin Roesch
Copyright c 2001-2003 Chris Green
Copyright c 2003-2013 Sourcefire, Inc.
Copyright c 2014 Cisco and/or its affiliates. All rights reserved.

Cодержание

1. Обзор Snort - 9

1.1 Начало работы - 9

1.2 Режим Sniffer - 9

1.3 Пакет Logger Mode - 10

1.4 Режим Сеть - Система обнаружения вторжений - 11

1.4.1 обнаружение вторжений - режим Параметры вывода - 11

1.4.2 Понимание - Стандартный выход оповещения - 12

1.4.3 Высокая настройка производительности - 12

1.4.4 Изменение Allert Order - 13

1.5 Пакет Приобретение - 13

1.5.1 Конфигурация - 13

1.5.2 PCAP - 14

1.5.3 AFPACKET - 15

1.5.4 NFQ - 15

1.5.5 IPQ - 16

1.5.6 IPFW - 16

1.5.7 Сброс - 16

1.5.8 Статистика изменений - 17

1.6 Чтение Pcap файлы - 17

1.6.1 аргументы командной строки - 17

1.6.2 Примеры - 17

1.7 Основные Выходная - 19

1.7.1 Временные статистика - 19

1.7.2 Пакетные I / O итоги - 19

1.7.3 Протокол статистика - 20

1.7.4 Snort Статистика памяти - 21

1.7.5 Действия , пределы, и вердикты - 21

1.8 Tunneling Protocol Support - 22

1.8.1 Несколько инкапсуляции - 23

1.8.2 Ведение протоколов - 23

1.9 Разное - 23

1.9.1 Запуск Snort в качестве демона - 23

1.9.2 Запуск в правиле режиме создания заготовки - 24

1.9.3 Сокрытие IP-адресов распечаток - 24

1.9.4 устанавливать идентификаторы Несколько инстанции - 24

1.9.5 Snort режимы их использования - 25

1.10 Контроль гнезда - 26

1.11 Значение Настройка сигнала - 26

1.12 Дополнительная информация - 27

2 Настройка Snort - 28

2.1 Включает в себя - 28

2.1.1 Формат - 28

2.1.2 Переменные - 28

2.1.3 Config - 31

2,2 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 40 2.2.1 Frag3. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 40 2.2.2 Сессия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 43 2.2.3 Поток. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 45 2.2.4 sfPortscan. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 49 2.2.5 RPC Decode. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 55 2.2.6 Performance Monitor. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 55 2.2.7 HTTP Проверьте. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 60 2.2.8 SMTP Preprocessor. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 75 2.2.9 POP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 80 2.2.10 IMAP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 83 2.2.11 FTP / Telnet Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 85 2.2.12 SSH. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 91

2.2.13 DNS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 93 2.2.14 SSL / TLS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 93 2.2.15 ARP Spoof Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 95 2.2.16 DCE / RPC 2 Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 96 2.2.17 Чувствительный Препроцессор данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 111 2.2.18 нормализатор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 113 2.2.19 SIP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 116 2.2.20 Репутация Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 122 2.2.21 GTP Decoder и Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 126 2.2.22 Modbus Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 134 2.2.23 DNP3 Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 137

2.2.24 AppId Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 140 2.3 декодер и препроцессора Правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 144 2.3.1 Настройка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 145 2.3.2 Возврат в исходное поведения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 145 2.4 Обработка событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 146 2.4.1 Скорость фильтрования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 146 2.4.2 Фильтрация событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 148 2.4.3 Подавление событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 150 2.4.4 Журнал событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 151 2.4.5 трассировки событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152 2,5 профилирование производительности. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152

2,5 профилирование производительности. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152 2.5.1 Правило профилирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 153 2.5.2 Препроцессор профилирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 154 2.5.3 Мониторинг Пакет Performance (PPM). , , , , , , , , , , , , , , , , , , , , , , , , , , , , 157 2,6 выходные модули. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 160 2.6.1 оповещения Syslog. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 160 2.6.2 предупреждение быстро. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 162 2.6.3 оповещения полном объеме. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 162 2.6.4 оповещения unixsock. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163 2.6.5 Журнал ТСРйитр. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163 2.6.6 CSV. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163 2.6.7 единая 2. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 165 2.6.8 Журнал нулю. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 167 2.6.9 Пределы Журнал. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7 Принимающая Таблица атрибутов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7.1 Формат конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7.2 Атрибут Формат файла таблицы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7.3 Таблица атрибутов пример. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 170

2,8 Динамические модули. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172 2.8.1 Формат. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172 2.8.2 Директивы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172 2.9 Перезагрузка конфигурации Snort. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173 2.9.1 Включение поддержки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173 2.9.2 Перезагрузка конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173 2.9.3 Номера пополняемые параметры конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 174 2.10 Несколько конфигураций. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 175 2.10.1 Создание нескольких конфигураций. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 175 2.10.2 конфигурации конкретных элементов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 176 2.10.3 Как Конфигурация применяется? , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 177

2.11 активным откликом. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 177 2.11.1 Включение активный отклик. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 178 2.11.2 Настройка снайперов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 178 2.11.3 Flexresp. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 179 2.11.4 React. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 179 2.11.5 Правило действия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 180 3 Написание Snort Правила 181 3.1 Основы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181 3,2 Правила заголовки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181 3.2.1 Правило действия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181 3.2.2 Протоколы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 182 3.2.3 IP-адреса. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 182 3.2.4 Номера портов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 183 3.2.5 Направление Оператор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 183 3.2.6 Включение / Динамические правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 184 3,3 Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 184 3,4 Опции общее правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185

3,4 Опции общее правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185 3.4.1 сообщ. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185 3.4.2 справка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185 3.4.3 GID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 186 3.4.4 SID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 186 3.4.5 Rev. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 187 3.4.6 ClassType. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 187 3.4.7 приоритетом. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 188 3.4.8 метаданных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 189 3.4.9 Общее правило Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 189

3,5 Грузоподъемность обнаружения опций правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 190 3.5.1 Содержание. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 190 3.5.2 защищенного содержимого. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 191 3.5.3 хэш. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192 3.5.4 Длина. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192 3.5.5 nocase. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192 3.5.6 rawbytes. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193 3.5.7 глубину. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193 3.5.8 смещения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193 3.5.9 Расстояние. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 194 3.5.10 изнутри. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 194 3.5.11 HTTP-клиент тело. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 195

3.5.12 HTTP Cookie. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 195 3.5.13 HTTP сырье печенья. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 196 3.5.14 HTTP заголовков. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 196 3.5.15 HTTP сырой заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197 3.5.16 HTTP метод. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197 3.5.17 HTTP URI. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197 3.5.18 HTTP сырье URI. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 198 3.5.19 HTTP стат код. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 198 3.5.20 HTTP стат сообщ. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 199 3.5.21 HTTP кодирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 199 3.5.22 быстро рисунок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 200 3.5.23 uricontent. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 201 3.5.24 urilen. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 202 3.5.25 isdataat. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 203 3.5.26 PCRE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 203 3.5.27 ПКТ данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 205 3.5.28 данные файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 206 3.5.29 base64 декодирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 206

3.5.30 base64 данные. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 207 3.5.31 байт тест. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 207 3.5.32 байт прыгать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 209 3.5.33 экстракт байт. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 210 3.5.34 ftpbounce. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 211 3.5.35 ASN1. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 212 3.5.36 CVS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 212 3.5.37 DCE IFACE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.38 DCE opnum. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.39 DCE данные заглушки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.40 SIP метод. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.41 глоток стат код. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.42 SIP заголовка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.43 глоток тело. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.44 тип GTP. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213

3.5.45 GTP Информация. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.46 GTP версия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.47 SSL версии. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.48 SSL состояние. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.49 полезной нагрузки Обнаружение Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3,6 относящейся к полезной нагрузке обнаружения Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215 6 3.6.1 fragoffset. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215 3.6.2 TTL. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215 3.6.3 ГС. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 216 3.6.4 ID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 216 3.6.5 ipopts. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 217 3.6.6 fragbits. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 217

3.6.7 dsize. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 218 3.6.8 флаги. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 218 3.6.9 потока. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 219 3.6.10 flowbits. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 220 3.6.11 след. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 223 3.6.12 ACK. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 223 3.6.13 окно. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224 3.6.14 IType. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224 3.6.15 ICODE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224 3.6.16 ICMP ID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 225 3.6.17 ICMP след. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 225 3.6.18 RPC. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226 3.6.19 IP прото. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226 3.6.20 sameip. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226 3.6.21 поток сборку. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 227 3.6.22 Размер потока. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 227 3.6.23 Номера для полезной нагрузки Обнаружение Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , 228

3,7 после обнаружения Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 228 3.7.1 logto. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 228 3.7.2 сессия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.3 соответственно. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.4 реагировать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.5 тегов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.6 активируется. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.7 активируется. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.8 граф. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.9 заменить. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.10 фильтр обнаружения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.11 После обнаружения Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 232 3,8 Правило Пороги. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 232 3,9 Написание хороших правил. , , , , , , , , , , , , , , , ,5 Snort развития 255 5.1 Отправка патчей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2 Snort потока данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.2 Обнаружение плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.2.3 Выходные плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5,3 Unified2 формат файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.1 Серийный Unified2 заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.2 Unified2 пакет. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.3 Unified2 IDS Event. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.4 Unified2 IDS Event IP6. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.5 Unified2 IDS Event (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.6 Unified2 IDS Event IP6 (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.7 Unified2 дополнительных данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.3.8 Описание полей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.4 Snort Команда. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 263 , , , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.1 Содержание Matching. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.2 Поймайте Уязвимость, не эксплуатировать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.3 Поймать странности протокола в правиле. , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.4 Оптимизация правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 235 3.9.5 Тестирование числовых значений. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 236 4 Dynamic Modules 239 4,1 структур данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239 4.1.1 DynamicPluginMeta. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239 4.1.2 DynamicPreprocessorData. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239 4.1.3 DynamicEngineData. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 240 4.1.4 SFSnortPacket. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 240 4.1.5 Динамические правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 241 4.2 Требуемые функции. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 247 4.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 248 4.2.2 Detection Engine. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 248 4.2.3 Правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250 4,3 Примеры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250 4.3.1 Препроцессор Пример. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250 4.3.2 Правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 252

5 Snort развития 255 5.1 Отправка патчей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2 Snort потока данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.2 Обнаружение плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.2.3 Выходные плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5,3 Unified2 формат файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.1 Серийный Unified2 заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.2 Unified2 пакет. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.3 Unified2 IDS Event. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.4 Unified2 IDS Event IP6. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.5 Unified2 IDS Event (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.6 Unified2 IDS Event IP6 (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.7 Unified2 дополнительных данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.3.8 Описание полей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.4 Snort Команда. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 263

Ссылки

1. Оригинал руководства - Snort Setup Guides (english), здесь: https://snort.org/documents. Делает переадресовку на https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/051/original/snort_manual.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1428424502&Signature=zdl7QxjgR43RSbhhrIbYOt6tg4s%3D

2. Отдельные материалы по теме:

проект Autosnort - установка Snort по сценарию (english), здесь: https://github.com/da667/Autosnort
использование полностью настроенного LiveCD, как EasyIDS (english), здесь: http://www.skynet-solutions.net/About-EasyIDS

3. Интересно по теме:

4. Видео по теме: .

5. Обсуждение на форуме: .

* FIXME

snort

wiki:snort