Snort里的规则目录文件解读(图文详解)
不多说,直接上干货!
snort的规则啊,是基于文本的,它通常存在于snort程序目录中或者子目录中,规则文件按照不同的组,进行分类存放的。
snort的安装目录
[root@datatest snort]# pwd
/etc/snort
[root@datatest snort]# ll
total
-rw-r--r--. root root Aug : barnyard2.conf
-rw-r--r--. root root Aug : classification.config
drwxr-xr-x. Jan etc
-rw-r--r--. root root Aug : gen-msg.map
drwxr-xr-x. Jan preproc_rules
-rw-r--r--. root root Aug : reference.config
drwxr-xr-x. Aug : rules
-rw-r--r--. root root Aug : sid-msg.map
-rw-r--r--. root root Aug : snort.conf
drwxr-xr-x. Jan so_rules
-rw-r--r--. root root Aug : threshold.conf
-rw-r--r--. root root Aug : unicode.map
[root@datatest snort]#
/etc/snort/rules
[root@datatest rules]# pwd
/etc/snort/rules
[root@datatest rules]# ls
app-detect.rules dos.rules indicator-compromise.rules os-other.rules protocol-nntp.rules server-apache.rules voip.rules
attack-responses.rules experimental.rules indicator-obfuscation.rules os-solaris.rules protocol-other.rules server-iis.rules VRT-License.txt
backdoor.rules exploit-kit.rules indicator-scan.rules os-windows.rules protocol-pop.rules server-mail.rules web-activex.rules
bad-traffic.rules exploit.rules indicator-shellcode.rules other-ids.rules protocol-rpc.rules server-mssql.rules web-attacks.rules
black_list.rules file-executable.rules info.rules p2p.rules protocol-scada.rules server-mysql.rules web-cgi.rules
blacklist.rules file-flash.rules local.rules phishing-spam.rules protocol-services.rules server-oracle.rules web-client.rules
botnet-cnc.rules file-identify.rules malware-backdoor.rules policy-multimedia.rules protocol-snmp.rules server-other.rules web-coldfusion.rules
browser-chrome.rules file-image.rules malware-cnc.rules policy-other.rules protocol-telnet.rules server-samba.rules web-frontpage.rules
browser-firefox.rules file-java.rules malware-other.rules policy.rules protocol-tftp.rules server-webapp.rules web-iis.rules
browser-ie.rules file-multimedia.rules malware-tools.rules policy-social.rules protocol-voip.rules shellcode.rules web-misc.rules
browser-other.rules file-office.rules misc.rules policy-spam.rules pua-adware.rules smtp.rules web-php.rules
browser-plugins.rules file-other.rules multimedia.rules pop2.rules pua-other.rules snmp.rules white_list.rules
browser-webkit.rules file-pdf.rules mysql.rules pop3.rules pua-p2p.rules specific-threats.rules x11.rules
chat.rules finger.rules netbios.rules protocol-dns.rules pua-toolbars.rules spyware-put.rules
content-replace.rules ftp.rules nntp.rules protocol-finger.rules rpc.rules sql.rules
ddos.rules icmp-info.rules oracle.rules protocol-ftp.rules rservices.rules telnet.rules
deleted.rules icmp.rules os-linux.rules protocol-icmp.rules scada.rules tftp.rules
dns.rules imap.rules os-mobile.rules protocol-imap.rules scan.rules virus.rules
[root@datatest rules]#
比如,文件ftp.rules所包含了FTP攻击内容。
在启动的时候,snort会读取所有的规则文件,并且建立一个三维的链表。
/etc/snort/so_rules
[root@datatest so_rules]# pwd
/etc/snort/so_rules
[root@datatest so_rules]# ls
browser-ie.rules file-java.rules indicator-shellcode.rules os-other.rules protocol-nntp.rules pua-p2p.rules server-oracle.rules
browser-other.rules file-multimedia.rules malware-cnc.rules os-windows.rules protocol-other.rules server-apache.rules server-other.rules
exploit-kit.rules file-office.rules malware-other.rules policy-social.rules protocol-snmp.rules server-iis.rules server-webapp.rules
file-flash.rules file-other.rules netbios.rules precompiled protocol-tftp.rules server-mail.rules src
file-image.rules file-pdf.rules os-linux.rules protocol-dns.rules protocol-voip.rules server-mysql.rules
[root@datatest so_rules]#
Snort里的规则目录文件解读(图文详解)的更多相关文章
- Snort里如何将读取的包记录存到指定的目录下(图文详解)
不多说,直接上干货! 比如,在/root/log目录下. [root@datatest ~]# snort -dve -l /root/log 需要注意: 1) /log目录需要你自己建立,并修改权限 ...
- Windows里下载并安装phpstudy(图文详解)
不多说,直接上干货! 帮助站长快速搭建网站服务器平台! phpstudy软件简介 此是基于phpStudy 2016.01.01. 该程序包集成最新的Apache+Nginx+LightTPD+PHP ...
- 全网最全的Windows下Anaconda2 / Anaconda3里正确下载安装Theano(图文详解)
不多说,直接上干货! Theano的安装教程目前网上一搜很多,前几天折腾了好久,终于安装成功了Anaconda3(Python3)的Theano,嗯~发博客总结并分享下经验教训吧. 渣电脑,显卡用的是 ...
- 再谈Hive元数据如hive_metadata与Linux里MySQL的深入区别(图文详解)
不多说,直接上干货! [bigdata@s201 conf]$ vim hive-site.xml [bigdata@s201 conf]$ pwd /soft/hive/conf [bigdata@ ...
- Spark Mllib里的Mllib基本数据类型(图文详解)
不多说,直接上干货! Spark Mllib基本数据类型,根据不同的作用和应用场景,分为四种不同的类型 1.Local vector : 本地向量集,主要向spark提供一组可进行操作的数据集合 2 ...
- Spark Mllib里如何建立向量标签(图文详解)
不多说,直接上干货! 注意: val pos = LabeledPoint(1, vd) val neg = LabeledPoint(2, vs) 除了这两种建立向量标签.还可以从数据库中获取固定格 ...
- 如何用Python来处理数据表的长宽转换(图文详解)
不多说,直接上干货! 很多地方都需用到这个知识点,比如Tableau里. 通常可以采取如python 和 r来作为数据处理的前期. Tableau学习系列之Tableau如何通过数据透视表方式读取 ...
- 如何用R来处理数据表的长宽转换(图文详解)
不多说,直接上干货! 很多地方都需用到这个知识点,比如Tableau里. 通常可以采取如python 和 r来作为数据处理的前期. Tableau学习系列之Tableau如何通过数据透视表方式读取 ...
- 基于CentOS6.5下snort+barnyard2+base的入侵检测系统的搭建(图文详解)(博主推荐)
为什么,要写这篇论文? 是因为,目前科研的我,正值研三,致力于网络安全.大数据.机器学习研究领域! 论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境.也不局限于真实物理机器环境实验室的大数 ...
随机推荐
- 编译iOS使用的.a库文件
首先是须要编译成.a的源文件 hello.h: #ifndef __INCLUDE_HELLO_H__ #define __INCLUDE_HELLO_H__ void hello(const cha ...
- 给工作赋予的新意义——Leo鉴书78
现代社会学三大奠基人有两位名字里有"马克思",他们都是德国人.当中一位就是写<资本论>的卡尔•马克思,另一位就是<新教伦理与资本主义精神>的作者马克思•韦伯 ...
- hdoj 4790 Just Random 【数学】
题目:hdoj 4790 Just Random 题意:给你两个闭区间[a,b],[c,d],分别从中等可能的跳出 x 和 y ,求(x+y)%p == m的概率 分析: 假如是[3,5] [4,7] ...
- LoadRunner系列实例之— 01录制cas登陆脚本
关于CAS 的概念,见链接 需要增加4个关联函数,初次加载页面时取cookie和it1,输入账号密码点击登录时,取ticketGrantingTicketId和it2 实际上前后台完成两次交互, // ...
- Linux常用服务安装部署
1,centos7默认是装有python的,检查python版本的命令 # 检查python版本 : python -V 2,centOS在安装python3以及tab补全功能 下载python3源码 ...
- linear map (also called a linear mapping, linear transformation or, in some contexts, linear function
Linear map - Wikipedia https://en.wikipedia.org/wiki/Linear_map
- iOS SHA加密算法的实现
- (NSString *)SHAStringWithSourceData:(NSData *)data type:(SHAType)type{ int shaDigestLength; switch ...
- touch all contents in a folder recursively
https://superuser.com/questions/598163/powershell-touch-all-files-newer-than Powershell to use Unix ...
- YTU 2411: 谁去参加竞赛?【简单循环】
2411: 谁去参加竞赛?[简单循环] 时间限制: 1 Sec 内存限制: 64 MB 提交: 461 解决: 261 题目描述 学校要举办大学生程序设计竞赛,老师要求期末考试成绩在平均成绩以上的 ...
- 第十七周 Leetcode 403. Frog Jump(HARD) 线性dp
leetcode403 我们维护青蛙从某个石头上可以跳那些长度的距离即可 用平衡树维护. 总的复杂度O(n^2logn) class Solution { public: bool canCross( ...