Copyright c 1998-2003 Martin Roesch
Copyright c 2001-2003 Chris Green
Copyright c 2003-2013 Sourcefire, Inc.
Copyright c 2014 Cisco and/or its affiliates. All rights reserved.

Это руководство основано на Writing Snort Rules by Martin Roesch и дальнейшей работы с Chris Green cmg@snort.org. Оно разработано Brian Caswell bmc@snort.org и сейчас поддерживается Snort Командой. Если у вас есть что то, что можно сказать лучше или Вы нашли что то, что устарело в документации, напишите нам, и мы обновим его. Если вы хотели бы представить патчи для этого документа, вы можете найти самую свежую версию документации, в формате LATEX в самый низу архива по пути /doc/snort_manual.tex. Небольшие обновления документации являются - Самый простой способ помочь Snort проекту.

Snort в действительности не очень сложно использовать, но есть много опций командной строки для работы с ним, ….. Этот документ имеет цель сделать использование Snort проще для новых пользователей. Snort может быть настроен для работы в трех режимах:

• Sniffer mode - просто читает пакеты сети и отображает их в непрерывный поток на консоли.
• Packet Logger mode - записывает пакеты на диск.
• Network Intrusion Detection System (NIDS) mode - Система обнаружения вторжений (NIDS), выполняет обнаружение и анализ сетевого трафика. Это самый сложный и настраиваемый режим.

Основы. Просто распечатать TCP/IP заголовки пакетов на экране (т.е. режим сниффер):

./snort -v

Эта команда запустит Snort и и просто выведет IP и заголовки TCP/UDP/ICMP, больше ничего. Увидеть пакетные данные и заголовки:

./snort -vd

Еще ​​более наглядный дисплей покажет заголовки канального уровня:

./snort -vde

Переключатели командной строки могут быть перечислены отдельно или в комбинированном виде, чтобы получить тот же результат

./snort -d -v -e

Для записи пакетов на диск, необходимо указать директорию для .log:

./snort -dev -l ./log

Конечно, это предполагает, что у Вас есть директория с именем log в текущем каталоге. Если нет, Snort выдаст с сообщение об ошибке. Когда Snort работает в этом режиме, он собирает каждый пакет и помещает его в директории log\ip-адрес-хоста. Если указать ключ -l, Snort может использовать адрес удаленного компьютера в качестве каталога, в котором он ставит пакеты, а может - адрес локального хоста. Для того, чтобы что бы указать Snort где домашняя сеть, нужно прописать ее:

./snort -dev -l ./log -h 192.168.1.0/24

Это правило скажет Snort, что необходимо сохранить данные канала передачи данных и заголовков TCP/IP, а также данные приложения в Каталог ./log , относительно класса С сети 192.168.1.0. Все входящие пакеты будут записаны в подкаталогах каталога log, с именами каталогов, основываясь на ip-адресе (не 192.168.1 ) хоста.

Если у Вас высокая скорости сети , или вы хотите , чтобы пакеты записывались в более компактной форме для последующего анализа - записывайте пакеты в двоичном режиме: пакеты регистрируются в формате TCPDump:

./snort -l ./log -b

Примечание: здесь не нужно указывать домашнюю сеть, потому что двоичном режиме все регистрируется в одном файле, что исключает необходимость формировать структуру каталогов. Кроме того, не рекомендуется работать в подробном режиме, лучше использовать опции -d и -e, потому что в двоичном режиме логируются все входящие пакеты, а не только секции. Все, что нужно сделать, чтобы запустить Snort в режиме логирования - указать каталог с параметрами -l - -b, двоичный переключатель, поскольку по умолчанию формата вывода ASCII text - текстовый. Двоичный файл, можно прочитать любым анализатором сетевых пакетов, поддерживающих TCPDump двоичный формат (например tcpdump or Ethereal) . Snort также может прочитать пакеты с помощью ключа -r , который ставит его в режим воспроизведения. Пакеты из TCPDump файла могут быть обработаны с помощью Snort в любом из его режимов. Например, что бы запустить бинарный файл лога через Snort в sniffer mode с выводом пакетов на экран, можно попробовать что-то вроде этого:

./snort -dv -r packet.log

Можно управлять данными файла различными способами, посредством Snort’s packet logging and intrusion detection modes, а также с BPF interface - доступной из командной строки. Например, если только посмотреть ICMP пакеты из log файлов, просто указать BPF фильтр в командной строке и Snort будет видеть только ICMP пакеты:

./snort -dvr packet.log icmp

Для получения дополнительной информации о том, как использовать интерфейс BPF, читать Snort и TCPDump tcpdump man.

Режим системы обнаружения вторжений - Network Intrusion Detection System (NIDS) включается:

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

где snort.conf имя файла конфигурации Snort и он будет применять правила, настроенные в snort.conf к к каждому пакету, чтобы решить, какие должны быть приняты меры (если должны быть приняты) в зависимости от типа правила в файле. Если не указан каталог для вывода программы, то по умолчанию будет /var/log/snort.

./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf

Это основные настройки Snort для работы в NIDS входящих пакетов, согласно правилам, указанным в snort.conf с логированием в текстовый файл на диск, используя иерархическую структуру каталогов (так же, как в Logger Mode) .

Есть несколько способов настроить вывод Snort в режиме NIDS. По умолчанию механизмы логирования и оповещения включены в формате ASCII и используют полные уведомления. Механизм, обеспечивающий вывод оповещения выводит предупреждающее сообщение, кроме полного заголовков пакетов. Есть несколько других режимов вывода предупреждений доступные в командной строке. Есть семь режимов доступных в командной строке. Шесть из этих режимов доступны с параметром командной строки -A. Возможные варианты (опция-название-описание):

-A fast - Быстрый режим оповещения - Записывает предупреждение в простом формате с меткой времени, само предупреждающее сообщение, отправителя (источник) и получателя (назначение) в виде IP-адрес/Порт. -A full - Режим полной боевой готовности - Этот режим по умолчанию и будет использоваться автоматически, если не указаны другие режимы. -A unsock - Сокеты - Отправка предупреждений на UNIX сокеты, что может прослушивать другая программа. -A none - Syslog - Выключение предупреждений. -A console - Консоль - Включает «fast-style» (быстрый стиль) оповещения на консоль (экран). -A cmg - CMG

and none - и нет

Пакеты могут быть записаны в формате по умолчанию ASCII или двоичном формате с помощью -b опции командной строки. Чтобы отключить протоколирование логов в целом, используется параметр -N командной строки. Для режимов вывода доступен вывод через файл конфигурации - раздел 2.6.

Для отправки уведомлений в системный журнал, используется параметр -s. По умолчанию для механизма Syslog оповещения являются LOG AUTHPRIV журнала предупреждений. Если вы настраиваете другие средства для системного журнала syslog output, используйте output plugin и команды в snort.conf . Более подробная информации о настройке системного журнала syslog output - раздел 2.6.1. Например, можно использовать следующую командную строку для логирования по умолчанию (ASCII) и отправки alerts-уведомления в Syslog:

./snort -c snort.conf -l ./log -h 192.168.1.0/24 -s

Еще пример, использовать следующую командную строку для логирования по умолчанию в /var/log/snort и отправки alerts-уведомления в fast alert файл:

./snort -c snort.conf -A fast -h 192.168.1.0/24

2,2 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 40 2.2.1 Frag3. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 40 2.2.2 Сессия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 43 2.2.3 Поток. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 45 2.2.4 sfPortscan. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 49 2.2.5 RPC Decode. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 55 2.2.6 Performance Monitor. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 55 2.2.7 HTTP Проверьте. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 60 2.2.8 SMTP Preprocessor. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 75 2.2.9 POP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 80 2.2.10 IMAP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 83 2.2.11 FTP / Telnet Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 85 2.2.12 SSH. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 91

2.2.13 DNS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 93 2.2.14 SSL / TLS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 93 2.2.15 ARP Spoof Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 95 2.2.16 DCE / RPC 2 Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 96 2.2.17 Чувствительный Препроцессор данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 111 2.2.18 нормализатор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 113 2.2.19 SIP Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 116 2.2.20 Репутация Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 122 2.2.21 GTP Decoder и Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 126 2.2.22 Modbus Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 134 2.2.23 DNP3 Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 137

2.2.24 AppId Препроцессор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 140 2.3 декодер и препроцессора Правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 144 2.3.1 Настройка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 145 2.3.2 Возврат в исходное поведения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 145 2.4 Обработка событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 146 2.4.1 Скорость фильтрования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 146 2.4.2 Фильтрация событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 148 2.4.3 Подавление событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 150 2.4.4 Журнал событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 151 2.4.5 трассировки событий. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152 2,5 профилирование производительности. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152

2,5 профилирование производительности. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 152 2.5.1 Правило профилирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 153 2.5.2 Препроцессор профилирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 154 2.5.3 Мониторинг Пакет Performance (PPM). , , , , , , , , , , , , , , , , , , , , , , , , , , , , 157 2,6 выходные модули. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 160 2.6.1 оповещения Syslog. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 160 2.6.2 предупреждение быстро. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 162 2.6.3 оповещения полном объеме. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 162 2.6.4 оповещения unixsock. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163 2.6.5 Журнал ТСРйитр. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163 2.6.6 CSV. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 163 2.6.7 единая 2. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 165 2.6.8 Журнал нулю. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 167 2.6.9 Пределы Журнал. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7 Принимающая Таблица атрибутов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7.1 Формат конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7.2 Атрибут Формат файла таблицы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 168 2.7.3 Таблица атрибутов пример. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 170

2,8 Динамические модули. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172 2.8.1 Формат. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172 2.8.2 Директивы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 172 2.9 Перезагрузка конфигурации Snort. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173 2.9.1 Включение поддержки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173 2.9.2 Перезагрузка конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 173 2.9.3 Номера пополняемые параметры конфигурации. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 174 2.10 Несколько конфигураций. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 175 2.10.1 Создание нескольких конфигураций. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 175 2.10.2 конфигурации конкретных элементов. , , , , , , , , , , , , , , , к по ссылк, , , , , , , , , , , , , , , , , 176 2.10.3 Как Конфигурация применяется? , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 177

2.11 активным откликом. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 177 2.11.1 Включение активный отклик. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 178 2.11.2 Настройка снайперов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 178 2.11.3 Flexresp. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 179 2.11.4 React. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 179 2.11.5 Правило действия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 180 3 Написание Snort Правила 181 3.1 Основы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181 3,2 Правила заголовки. , , , , , , , , , , , , , , , , , , , , , , , , ,к по ссылк , , , , , , , , , , , , , , , , , , , , , 181 3.2.1 Правило действия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 181 3.2.2 Протоколы. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 182 3.2.3 IP-адреса. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 182 3.2.4 Номера портов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 183 3.2.5 Направление Оператор. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 183 3.2.6 Включение / Динамические правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 184 3,3 Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 184 3,4 Опции общее правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185

3,4 Опции общее правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185 3.4.1 сообщ. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185 3.4.2 справка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 185 3.4.3 GID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 186 3.4.4 SID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 186 3.4.5 Rev. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 187 3.4.6 ClassType. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 187 3.4.7 приоритетом. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 188 3.4.8 метаданных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 189 3.4.9 Общее правило Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 189

3,5 Грузоподъемность обнаружения опций правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 190 3.5.1 Содержание. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 190 3.5.2 защищенного содержимого. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 191 3.5.3 хэш. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192 3.5.4 Длина. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192 3.5.5 nocase. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 192 3.5.6 rawbytes. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193 3.5.7 глубину. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193 3.5.8 смещения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 193 3.5.9 Расстояние. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 194 3.5.10 изнутри. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 194 3.5.11 HTTP-клиент тело. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 195

3.5.12 HTTP Cookie. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 195 3.5.13 HTTP сырье печенья. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 196 3.5.14 HTTP заголовков. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 196 3.5.15 HTTP сырой заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197 3.5.16 HTTP метод. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197 3.5.17 HTTP URI. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 197 3.5.18 HTTP сырье URI. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 198 3.5.19 HTTP стат код. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 198 3.5.20 HTTP стат сообщ. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 199 3.5.21 HTTP кодирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 199 3.5.22 быстро рисунок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 200 3.5.23 uricontent. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 201 3.5.24 urilen. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 202 3.5.25 isdataat. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 203 3.5.26 PCRE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 203 3.5.27 ПКТ данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 205 3.5.28 данные файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 206 3.5.29 base64 декодирования. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 206

3.5.30 base64 данные. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 207 3.5.31 байт тест. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 207 3.5.32 байт прыгать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 209 3.5.33 экстракт байт. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 210 3.5.34 ftpbounce. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 211 3.5.35 ASN1. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 212 3.5.36 CVS. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 212 3.5.37 DCE IFACE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.38 DCE opnum. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.39 DCE данные заглушки. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.40 SIP метод. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.41 глоток стат код. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.42 SIP заголовка. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.43 глоток тело. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213 3.5.44 тип GTP. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 213

3.5.45 GTP Информация. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.46 GTP версия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.47 SSL версии. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.48 SSL состояние. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3.5.49 полезной нагрузки Обнаружение Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214 3,6 относящейся к полезной нагрузке обнаружения Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215 6 3.6.1 fragoffset. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215 3.6.2 TTL. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 215 3.6.3 ГС. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 216 3.6.4 ID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 216 3.6.5 ipopts. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 217 3.6.6 fragbits. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 217

3.6.7 dsize. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 218 3.6.8 флаги. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 218 3.6.9 потока. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 219 3.6.10 flowbits. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 220 3.6.11 след. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 223 3.6.12 ACK. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 223 3.6.13 окно. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224 3.6.14 IType. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224 3.6.15 ICODE. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 224 3.6.16 ICMP ID. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 225 3.6.17 ICMP след. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 225 3.6.18 RPC. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226 3.6.19 IP прото. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226 3.6.20 sameip. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 226 3.6.21 поток сборку. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 227 3.6.22 Размер потока. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 227 3.6.23 Номера для полезной нагрузки Обнаружение Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , 228

3,7 после обнаружения Опции правило. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 228 3.7.1 logto. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 228 3.7.2 сессия. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.3 соответственно. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.4 реагировать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.5 тегов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 229 3.7.6 активируется. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.7 активируется. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.8 граф. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.9 заменить. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.10 фильтр обнаружения. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 231 3.7.11 После обнаружения Краткий справочник. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 232 3,8 Правило Пороги. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 232 3,9 Написание хороших правил. , , , , , , , , , , , , , , , ,5 Snort развития 255 5.1 Отправка патчей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2 Snort потока данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.2 Обнаружение плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.2.3 Выходные плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5,3 Unified2 формат файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.1 Серийный Unified2 заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.2 Unified2 пакет. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.3 Unified2 IDS Event. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.4 Unified2 IDS Event IP6. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.5 Unified2 IDS Event (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.6 Unified2 IDS Event IP6 (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.7 Unified2 дополнительных данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.3.8 Описание полей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.4 Snort Команда. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 263 , , , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.1 Содержание Matching. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.2 Поймайте Уязвимость, не эксплуатировать. , , , , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.3 Поймать странности протокола в правиле. , , , , , , , , , , , , , , , , , , , , , , , , , 234 3.9.4 Оптимизация правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 235 3.9.5 Тестирование числовых значений. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 236 4 Dynamic Modules 239 4,1 структур данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239 4.1.1 DynamicPluginMeta. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239 4.1.2 DynamicPreprocessorData. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 239 4.1.3 DynamicEngineData. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 240 4.1.4 SFSnortPacket. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 240 4.1.5 Динамические правила. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 241 4.2 Требуемые функции. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 247 4.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 248 4.2.2 Detection Engine. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 248 4.2.3 Правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250 4,3 Примеры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250 4.3.1 Препроцессор Пример. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 250 4.3.2 Правил. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 252

5 Snort развития 255 5.1 Отправка патчей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2 Snort потока данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.1 Препроцессоры. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 255 5.2.2 Обнаружение плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.2.3 Выходные плагинов. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5,3 Unified2 формат файла. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.1 Серийный Unified2 заголовок. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 256 5.3.2 Unified2 пакет. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.3 Unified2 IDS Event. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.4 Unified2 IDS Event IP6. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 257 5.3.5 Unified2 IDS Event (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.6 Unified2 IDS Event IP6 (версия 2). , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 258 5.3.7 Unified2 дополнительных данных. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.3.8 Описание полей. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 259 5.4 Snort Команда. , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 263

1. Оригинал руководства - Snort Setup Guides (english), здесь: https://snort.org/documents. Делает переадресовку на https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/051/original/snort_manual.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1428424502&Signature=zdl7QxjgR43RSbhhrIbYOt6tg4s%3D

2. Отдельные материалы по теме:

• проект Autosnort - установка Snort по сценарию (english), здесь: https://github.com/da667/Autosnort
• использование полностью настроенного LiveCD, как EasyIDS (english), здесь: http://www.skynet-solutions.net/About-EasyIDS

3. Интересно по теме:

4. Видео по теме: .

5. Обсуждение на форуме: http://forum.ubuntu.ru/index.php?topic=259777.0 .

* FIXME