Snort安裝使用中文手冊5.2 Snort Unified2文件格式
Unified 2記錄不應該是有任何順序的。所有值都以網絡字節順序存儲。
unified2文件的一個示例結構
[ Serial Unified2 Header ]
[ Unified2 IDS Event ]
[ Unified2 Packet ]
[ Unified2 Extra Data ]
.
.
.
[ Serial Unified2 Header ]
[ Unified2 IDS Event ]
[ Unified2 Packet ]
[ Unified2 Extra Data ]5.2.1 串行Unified2首部
record type 4 bytes
record length 4 bytes所有unified2記錄前面都有一個串行unified2標頭。這個unified2記錄允許解釋應用程序跳過過去,并對記錄應用簡單的試探法。
記錄類型指示了以下unified2記錄中的一條緊跟在串行unified2標頭之后:
Value Record Type
---------- -----------
2 Unified2 Packet
7 Unified2 IDS Event
72 Unified2 IDS Event IP6
104 Unified2 IDS Event (Version 2)
105 Unified2 IDS Event IP6 (Version 2)
110 Unified2 Extra Data記錄長度字段指定到下一個串行Unified2報頭或EOF的整個記錄長度(不包括串行Unified2報頭本身)。
5.2.2 Unified2包
sensor id 4 bytes
event id 4 bytes
event seconds 4 bytes
packet seconds 4 bytes
packet microseconds 4 bytes
linktype 4 bytes
packet length 4 bytes
packet data <variable length>每個Unified2事件記錄都提供一個Unified2包。這個包是引起給定事件的“警報”包。
Unified2包記錄包含引起警報(包數據)的包的一個副本,并且包的長度是八字節長。
5.2.3 Unified2 IDS 事件
sensor id 4 bytes
event id 4 bytes
event second 4 bytes
event microsecond 4 bytes
signature id 4 bytes
generator id 4 bytes
signature revision 4 bytes
classification id 4 bytes
priority id 4 bytes
ip source 4 bytes
ip destination 4 bytes
source port/icmp type 2 bytes
dest. port/icmp code 2 bytes
protocol 1 byte
impact flag 1 byte
impact 1 byte
blocked 1 byteUnified2 IDS事件被記錄為IPv4事件,沒有VLAN或MPLS標記。
5.2.4 Unified2 IDS Event IP6
sensor id 4 bytes
event id 4 bytes
event second 4 bytes
event microsecond 4 bytes
signature id 4 bytes
generator id 4 bytes
signature revision 4 bytes
classification id 4 bytes
priority id 4 bytes
ip source 16 bytes
ip destination 16 bytes
source port/icmp type 2 bytes
dest. port/icmp code 2 bytes
protocol 1 byte
impact flag 1 byte
impact 1 byte
blocked 1 byteUnified2 IDS 事件 IP6被記錄為沒有VLAN或MPLS標記的IPv6事件。
5.2.5 Unified2 IDS 事件 (版本 2)
sensor id 4 bytes
event id 4 bytes
event second 4 bytes
event microsecond 4 bytes
signature id 4 bytes
generator id 4 bytes
signature revision 4 bytes
classification id 4 bytes
priority id 4 bytes
ip source 4 bytes
ip destination 4 bytes
source port/icmp type 2 bytes
dest. port/icmp code 2 bytes
protocol 1 byte
impact flag 1 byte
impact 1 byte
blocked 1 byte
mpls label 4 bytes
vlan id 2 bytes
padding 2 bytesUnified2 IDS事件(版本2)被記錄為包含MPLS或VLAN頭的IPv4包。否則將記錄Unified2 IDS事件。
注意:您需要通過- enablelempls進行配置,以便讓Snort填充mpls標簽字段。-注意,你需要配置unified2日志mpls_event_types或vlan_event_types來獲得這個記錄類型。
5.2.6 Unified2 IDS Event IP6 (版本2)
sensor id 4 bytes
event id 4 bytes
event second 4 bytes
event microsecond 4 bytes
signature id 4 bytes
generator id 4 bytes
signature revision 4 bytes
classification id 4 bytes
priority id 4 bytes
ip source 16 bytes
ip destination 16 bytes
source port/icmp type 2 bytes
dest. port/icmp code 2 bytes
protocol 1 byte
impact flag 1 byte
impact 1 byte
blocked 1 byte
mpls label 4 bytes
vlan id 2 bytes
padding 2 bytesUnified2 IDS事件IP6(版本2)被記錄到包含MPLS或VLAN報頭的IPv6數據包中。否則將記錄Unified2 IDS事件IP6。
注意:-注意,您需要通過- enablelempls進行配置,以便讓Snort填充mpls標簽字段。-注意,你需要配置unified2日志mpls_event_types或vlan_event_types來獲得這個記錄類型。
5.2.7 Unified2 附加數據
sensor id 4 bytes
event id 4 bytes
event second 4 bytes
type 4 bytes
data type 4 bytes
data length 4 bytes
data <variable length>5.2.8 字段描述
Sensor ID
未使用的
Event ID
上面的兩個字節表示snort實例,如果通過向snort傳遞-G選項指定的話。
較低的2字節表示事件的唯一id。
事件ID字段用于方便將事件與包數據合并的任務。
Event Seconds and Event Microseconds
時間戳,表示自警報生成以來的秒數。
Link Type (Unified2 Packet)
數據包的數據鏈類型,通常是EN10M,但可以是Snort處理的pcap_datalink返回的任何值。
Packet Length (Unified2 Packet)
數據包數據的長度。
Packet Data (Unified2 Packet)
警告包,包的長度字節長。
Type (Unified2 Extra Data)
類型指定了額外數據的類型,有效的類型是:
Value Description
---------- -----------
1 Original Client IPv4
2 Original Client IPv6
3 UNUSED
4 GZIP Decompressed Data
5 SMTP Filename
6 SMTP Mail From
7 SMTP RCPT To
8 SMTP Email Headers
9 HTTP URI
10 HTTP Hostname
11 IPv6 Source Address
12 IPv6 Destination Address
13 Normalized Javascript DataData Type (Unified2 Extra Data)
記錄中額外數據的類型。
Value Description
---------- -----------
1 BlobData Length (Unified2 Extra Data)
存儲在額外數據記錄中的數據長度
Data (Unified2 Extra Data)
原始的額外事件數據,直到數據長度字節的大小。
除了1、2、11和12 (IP地址)之外,所有這些額外的數據類型都以明文形式存儲。需要將IP地址類型解釋為好像它們剛上線一樣。
Signature ID
警報規則的簽名ID,由sid關鍵字指定。
Generator ID
警報規則的生成器ID,由gid關鍵字指定。
Signature Revision
對rev關鍵字指定的規則進行修訂。
Classification ID
映射到文件classifications.conf中的分類ID
Priority ID
映射在文件classifications.conf中或被文本規則的Priority關鍵字覆蓋的規則的優先級。
IP Source
生成事件的包的源IP。
IP Destination
生成事件的包的目的IP。
Source Port/ICMP Type
如果協議是TCP或UDP,則此字段包含警報包的源端口。
如果協議是ICMP,則此字段包含警報包的ICMP類型。
Destination Port/ICMP Code
如果協議是TCP或UDP,則此字段包含警報包的源端口。
如果協議是icmp,則此字段包含警報包的icmp代碼。
Protocol
警報包的傳輸協議。其中之一:ip、tcp、udp或icmp。
Impact flag
遺留字段,指定是否丟棄數據包。
Value Description
---------- -----------
32 BlockedImpact
未使用的;棄用。
Blocked
數據包是否未被丟棄、已丟棄或將被丟棄。
Value Description
---------- -----------
0 Was NOT Dropped
1 Was Dropped
2 Would Have Dropped*注意: 在Snort以內聯測試模式運行時,您將獲得的規則將被刪除。當刪除會話或關閉期間觸發刪除規則時,也會獲得Would Have drop。
MPLS Label (4 bytes)
從警報包中的mpls報頭中提取的mpls標簽。
VLAN ID
從警告包中的vlan頭中提取的vlan id。
Padding
填充用于保持事件結構在4字節邊界上對齊。
推薦文章: