Security

除了預設值之外,snort 中還有哪些常用的規則操作?

  • May 31, 2011

我正在編寫一個嚴格的 snort 規則解析器,我想適應流行外掛的 snort 規則。該文件指定任何操作/類型都是可能的,因為它們可以由外掛定義。但是,我想要一個已知操作的列表來查找,以便向使用者發出警告。

目前,我知道以下 snort 動作:

alert
log
pass
activate
dynamic
drop
sdrop
reject

您是否使用或知道任何其他自定義操作?

自定義操作由 snort.conf 中的規則類型聲明定義;然後可以在您的規則中使用這些自定義操作。從預設的 snort.conf 中:

# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
#   type log
#   output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)

因為規則類型可以是完全任意的,所以解析 snort.conf 文件中首先定義的任何規則類型,然後在規則解析器的操作散列或與之匹配的任何內容中使用它更有意義。

引用自:https://serverfault.com/questions/43839