<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    Snort安裝使用中文手冊
    展開或關閉
    Snort概述
    1.1 Snort 入門與模式 1.2 Snort 網絡入侵檢測系統模式 1.3 Snort如何獲取數據包 1.4 Snort如何讀取pcap文件 1.5 Snort 如何實現基本輸出 1.6 Snort 隧道協議支持 1.7 Snort 其他相關操作 1.8 Snort如何控制套接字 1.9 Snort如何配置信號值
    配置Snort
    2.1 Snort Include關鍵字 2.2 Snort 預處理器 2.3 Snort 解碼器和預處理器規則 2.4 Snort如何進行事件處理 2.5 Snort 性能分析 2.6 Snort 輸出模塊 2.7 Snort 主機屬性表 2.8 Snort 動態模塊 2.9 如何重新加載Snort 配置 2.10 Snort 多種配置 2.11 Snort 主動響應
    編寫Snort規則
    3.1 Snort 規則首部 3.2 Snort 常規規則選項 3.3 Snort Payload檢測規則選項 3.4 Snort Non-payload 檢測規則選項 3.5 Snort Post-Detection規則選項 3.6 Snort 規則閾值 3.7 Snort如何編寫良好的規則
    動態模塊
    4.1 Snort 數據結構 4.2 Snort 必需功能 4.3 Snort 實例
    Snort發展
    5.1 Snort 數據流 5.2 Snort Unified2文件格式 5.3 Snort 緩沖轉儲實用程序

    2.10 Snort 多種配置

    Snort安裝使用中文手冊 /

    現在,Snort在單個Snort實例中支持基于VLAN ID或IP子網的多種配置。這將使管理員可以指定多個snort配置文件并將每個配置綁定到一個或多個VLAN或子網,而不必為每個所需的配置運行一個Snort。每個唯一的snort配置文件都會在snort中創建一個新的配置實例。未綁定到任何特定配置的VLAN /子網將使用默認配置。每個配置可以具有不同的預處理器設置和檢測規則。

    2.10.1 創建多個配置

    使用現有的-c選項指定snort的默認配置。缺省配置使用以下配置行將多個VLAN或網絡綁定到非缺省配置:

    config binding: <path_to_snort.conf> vlan <vlanIdList>
config binding: <path_to_snort.conf> net <ipList>
config binding: <path_to_snort.conf> policy_id <id>

    path_to_snort.conf
    針對特定配置,指向snort.conf的絕對或相對路徑。

    vlanIdList
    引用以逗號分隔的vlandId和vlanId范圍列表。范圍的格式是兩個vlanId,中間用“-”分隔。范圍內允許有空格。有效的vlanId是0-4095范圍內的任何數字。不支持負vland ID和字母數字。

    ipList
    指IP子網。子網可以是IPV6或IPv4的CIDR塊。最多可以指定512個單獨的IPv4或IPv6地址或CIDR。

    policy_id
    引用要應用的特定policyi_id。有效的policyi_id是0-4095范圍內的任何數字。

    注意:VLAN和子網不能在同一行中使用。可以基于VLAN或子網同時應用配置。

    注意: 即使保留了Vlan Ids 0和4095,但在配置Snort時,它們仍有效。

    2.10.2 配置特定元素

    2.10.2.1 配置選項

    通常,默認配置中定義的配置選項默認情況下是全局的,即它們的值適用于所有其他配置。以下配置選項特定于每種配置。

    policy_id
    policy_mode
    policy_version

    以下配置選項特定于每種配置。如果未在配置中定義,則選項的默認值(而非默認配置值)生效。

    config checksum_drop
config disable_decode_alerts
config disable_decode_drops
config disable_ipopt_alerts
config disable_ipopt_drops
config disable_tcpopt_alerts
config disable_tcpopt_drops
config disable_tcpopt_experimental_alerts
config disable_tcpopt_experimental_drops
config disable_tcpopt_obsolete_alerts
config disable_tcpopt_obsolete_drops
config disable_ttcp_alerts
config disable_tcpopt_ttcp_alerts
config disable_ttcp_drops

    2.10.2.2 規則

    規則特定于配置,但是出于性能原因,只能自定義規則的某些部分。如果未在配置中指定規則,則該規則將永遠不會引發該配置的事件。規則共享規則選項的所有部分,包括常規選項,有效負載檢測選項,非有效負載檢測選項和檢測后選項。規則標題的各個部分可以在不同的配置中進行不同的指定,限于:

    Source IP address and port
Destination IP address and port
Action

    一種配置中規則的更高修訂版將覆蓋其他配置中同一規則的其他修訂版。

    2.10.2.3 變量

    使用“ var”,“ portvar”和“ ipvar”定義的變量特定于配置。如果配置中的規則使用變量,則必須在該配置中定義這些變量。

    2.10.2.4 預處理器

    可以在每個VLAN或子網特定的配置中定義預處理器配置。通過特定的內存使用限制或實例數量來控制特定的預處理器內存使用的選項僅在默認策略中處理。這些選項控制所有策略中預處理器的總內存使用情況。在非默認策略中將忽略這些選項,而不會引發錯誤。必須先以默認配置配置預處理器,然后才能將其配置為非默認配置。這是必需的,因為某些強制性預處理器配置選項僅在默認配置中才處理。

    2.10.2.5 事件和輸出

    用戶可以使用以下配置行為每個配置分配唯一的策略ID:

    config policy_id:<id>

    ID
    指16位無符號值。此策略ID將用于從Unified2記錄中的特定配置中識別警報。

    注意: 如果未指定任何策略ID,則snort會將0(零)值分配給配置。

    要在Unified2記錄中啟用vlanId日志記錄,可以使用以下選項。

    output alert_unified2: vlan_event_types (alert logging only)
output unified2: filename <filename>, vlan_event_types (true unified logging)

    filename

    指絕對或相對文件名。

    vlan_event_types

    設置此選項后,snort將對IPv4和IPv6分別使用Unified2事件類型104和105。

    注意: 如果存在vlan標頭,則記錄的每個事件都將具有數據包中的vlanId,否則將使用0。

    2.10.3 如何應用配置?

    Snort根據以下條件將每個傳入數據包分配給唯一的配置。如果存在VLANID,則使用最里面的VLANID查找綁定的配置。如果綁定的配置是默認配置,則將目標IP地址搜索到綁定到非默認配置的最特定的子網。如果找到該數據包,則為該數據包分配非默認配置,否則使用源IP地址重復檢查。最后,如果未找到其他匹配配置,則使用默認配置。

    對于基于尋址的配置綁定,如果源地址綁定到一個配置而目標地址綁定到另一個配置,則這可能導致配置之間發生沖突。在這種情況下,snort將按照定義的順序使用第一個配置,該配置可以應用于數據包。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    007bug
    資深作者 165 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类