Разработка собственных правил для SNORT презентация

Содержание

Слайд 2

ПОРЯДОК ДЕЙСТВИЙ

Изучить типы правил Snort
Изучить синтаксис правил Snort
Изучить принцип подключения к Snort

файлов с дополнительными правилами
На основе примеров с сайта c-sec.ru написать примеры собственных правил
Проверить работоспособность написанных правил

Слайд 3

ПРАВИЛА SNORT*

* http://c-sec.ru

Правила SNORT

Контекстные
(для последовательности пакетов)

Бесконтекстные
(для каждого пакета)

Слайд 4

ПРАВИЛА SNORT*

* http://c-sec.ru

Формат правила SNORT:
Заголовок правила («Rule Header») + Опции правила (Rule Options)
Правила

пишутся в одну строку или с использованием в конце строки символа «\» для обозначения переноса

Слайд 5

ПРАВИЛА SNORT*

* http://c-sec.ru

Формат заголовка правила:
<Действие>
<Протокол>

<Порты отправителей>
<Оператор направления>

<Порты получателей>

Слайд 6

ПРАВИЛА SNORT*

* http://c-sec.ru

Действия правила:
alert – правило выводит сообщение в выбранном режиме и заносит

пакет в журнал
log – заносит пакет в журнал
pass – игнорирует пакет
activate – выводит сообщение и активирует правило с действием dynamic
dynamic – остается неактивным до активации правилом с действием activate

Слайд 7

ПРАВИЛА SNORT*

* http://c-sec.ru

Действия правила:
drop – блокирует и заносит пакет в журнал
reject – блокирует

и заносит пакет в журнал, а затем обрывает TCP соединение или сообщает, что порт недоступен
sdrop – блокирует пакет, но не заносит его в журнал

Слайд 8

ПРАВИЛА SNORT*

* http://c-sec.ru

Протокол правила:
TCP
ICMP
UDP
IP

Слайд 9

ПРАВИЛА SNORT*

* http://c-sec.ru

Операторы направления:
«->» - от отправителя получателю
«<>» - в обе стороны
«<-» -

такое значение не является допустимым

Слайд 10

ПРАВИЛА SNORT*

* http://c-sec.ru

Опции правил – категории опций
general – содержат сведения о правиле
payload –

относятся к поиску информации в пользовательских данных пакетов
non-payload – относятся к поиску информации в служебных данных (заголовках) пакетов
post-detection – данные опции активируются после того, как правило сработало

Слайд 11

ПРАВИЛА SNORT*

* http://c-sec.ru

Опции категории «General»
msg – задает выводимое в случае срабатывания правила сообщение.

msg:""
reference – задает ссылки на внешние системы идентификации атак. reference:,
gid – задает generator id (ключевое слово), позволяющее идентифицировать часть Snort, сгенерировавшую событие. gid:
sid – задает уникальный идентификатор правила. Рекомендуется использовать sid > 999 9999. sid:

Слайд 12

ПРАВИЛА SNORT*

* http://c-sec.ru

Опции категории «General»
rev – задает значение версии правила. rev:
classtype –

задает класс атаки, к которому относится правило на основе файла classification.conf . classtype:
priority – задает уровень важности правила. priority:
metadata – позволяет указать дополнительную информацию о правиле. metadata:key1 value1, key2 value2;

Слайд 13

ПРАВИЛА SNORT*

* http://c-sec.ru

Основные опции категории «Payload»
content – задает строку для поиска в пользовательских

данных. content:[!]""
protected_content – задает значение хэш-функции строки для поиска в пользовательских данных. protected_content:[!]"",, hash:[md5|sha256|sha512];
Прочие опции позволяют настроить поиск с опциями content или protected_content.

Слайд 14

ПРАВИЛА SNORT*

* http://c-sec.ru

Основные опции категории «Non-payload»
ttl – задает значение параметра time-to-live в TCP-пакетах.

ttl:[<, >, =, <=, >=]; ttl:[]-[];
id – задает значение параметра id в IP-пакетах id:;
flags – задает значение флагов в TCP-пакетах. flags:[!|*|+][,];

Слайд 15

ПРАВИЛА SNORT*

* http://c-sec.ru

Основные опции категории «Non-payload»
itype – задает значение параметра type в ICMP-пакетах.

itype:[<|>];
icode – задает значение параметра code в ICMP-пакетах icode:[<|>];
flags – задает значение флагов в TCP-пакетах. flags:[!|*|+][,];
Имя файла: Разработка-собственных-правил-для-SNORT.pptx
Количество просмотров: 54
Количество скачиваний: 0
- Предыдущая
Страхование финансовых рисков
Следующая -
Разрезы и сеченя в чертежах сложных деталей

Похожие презентации

Уроки английского языка с умной колонкой-капсулой Маруся
Виртуальное моделирование химических процессов
Графические редакторы MediaBang Paint Pro и Artwaver Free
Команда и программа
Шаблоны слайдов от McKinsey
World of tanks blitz. Спецпроект
Окно среды программирования Pascal ABC
Понятие операционной системы. Основные функции ОС
CISCO CCIE Program
Телекоммуникационные сети
Basic of Database System. Lab One
Информатика и ИКТ в профессиональной деятельности
Маски подсети переменной длины (VLSM (Variable Length Subnet Masking))
Интерфейс и основные возможности графических редакторов
1С:ERP. Управление холдингом
Презентация к уроку информатики Алгоритмы в нашей жизни
Черчение в Компас 3D
Общие сведения о языке программирования Паскаль. Начала программирования. Информатика. 8 класс
Организация тестирования в команде разработчиков. Виды и методы тестирования
Знакомство с персональным компьютером. Глава 1
Алгоритмы и исполнители
Тестирование программного обеспечения
Мәліметтер қоры (МҚ)
Логические основы компьютеров
Основи веб-дизайну
Новый уровень Вашего бизнеса. Поставка программных продуктов в режиме онлайн
Структуры в языке Си
Принципы геолого-технологического моделирования (построение куба литофаций)
Обратная связь
Email: Нажмите что бы посмотреть