snort的规则库是不断更新的,网上有最新版本的发布,snort rules分为两个部分:规则头,规则选项。规则头包含一些动作比如alert什么的,然后是数据包的协议,ip,掩码,端口。规则选项里包含要检查的数据包的内容和报警的信息内荣。
pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (flow:to_server,established;content "|2e2e5c2e2e|";)其中数字表示2进制字节码。
snort最重要的是对数据包内容的匹配,content中的内容。如果要定制新的规则,就要找出攻击数据包中的特征码,然后在content中包含这些特征码。可以用wireshark或者ethreal等截获数据包的工具。当然,这其中还有很多工作要做。暂且粗略分析一下。
阅读(505) | 评论(0) | 转发(0) |