2.3 Snort 解碼器和預處理器規則

解碼器和預處理器規則允許在一個規則的基礎上啟用和禁用解碼器和預處理器事件。它們還允許在逐個規則的基礎上指定規則類型或解碼器或預處理器事件的動作。

解碼器配置選項仍將確定是否生成解碼器事件。例如，如果config disable_decode_alerts位于 snort.conf中，則無論是否有相應的事件規則，都不會生成解碼器事件。還要注意，如果將解碼器配置為啟用丟棄，例如config enable_decode_drops，則這些選項將優先于規則的事件類型。如果snort.conf中的解碼器配置丟棄選項或解碼器或預處理器規則類型為 drop，則將丟棄數據包。當然，僅當Snort內聯運行時，丟棄情況才適用。參見doc / README.decode 用于控制解碼器事件的配置選項。

2.3.1 配置

解碼器和預處理器規則位于 頂級源樹的preproc_rules /目錄中，并分別具有名稱 解碼器.rules和preprocessor.rules。隨著新的解碼器和預處理器事件添加到Snort中，這些文件也會更新。etc目錄下的gen-msg.map也使用新的解碼器和預處理程序規則進行更新。

要在snort.conf中啟用這些規則，請定義規則所在的路徑，并取消注釋snort.conf中引用規則文件的包含行 。

    var PREPROC_RULE_PATH /path/to/preproc_rules
    ...
    include $PREPROC_RULE_PATH/preprocessor.rules
    include $PREPROC_RULE_PATH/decoder.rules

要禁用任何規則，只需用＃注釋或從文件中完全刪除該規則（建議注釋）。

要更改規則類型或解碼器/預處理器規則的操作，只需將警報替換 為所需的規則類型。可以使用以下任何一種規則類型：

警報
日志
通過
下降
sdrop
拒絕

例如，可以更改：

    alert ( msg: "DECODE_NOT_IPV4_DGRAM"; sid: 1; gid: 116; rev: 1;
        metadata: rule-type decode ; classtype:protocol-command-decode;)

至

    drop ( msg: "DECODE_NOT_IPV4_DGRAM"; sid: 1; gid: 116; rev: 1; \
        metadata: rule-type decode ; classtype:protocol-command-decode;)

丟棄（以及發出警報）以太網協議為IPv4但IPv4標頭中的version字段的值不是4的數據包。

不同預處理器和解碼器的生成器id（gid）如下：

2.3.2 恢復原始行為

snort.conf中 的以下配置選項將使Snort恢復為舊行為：

config autogenerate_preprocessor_decoder_rules

請注意，如果要還原為舊行為，還必須從snort.conf中刪除解碼器和預處理程序規則以及對其的任何引用 ，否則將加載它們。此選項適用于未指定的規則，默認行為是警報。