guoguangwu的专栏

前面介绍了规则头数据结构分析、解析和匹配过程。接下来分析规则选项的数据结构和解析、匹配过程。 /* * 规则匹选项配数据结构 */ typedef struct _OptFpList { /* context data for this test */ /* 匹配时传入的参数option_data, 例如 PatternMatchData*/ void *conte...

上篇对照snort的规则简单介绍了一下那些规则字段 接下来看一下规则头和规则选项的数据结构 /* 规则头匹配函数链表*/ typedef struct _RuleFpList { /* context data for this test */ /* 目前规则头没有使用 */ void *context; /* rule check function po...

snort的文件规则保存在file_magic.conf中。 以pdf为例： file type:PDF; id:22; category:PDF files; msg:"PDF file "; rev:1; content:| 25 50 44 46|; offset:0; file type:PDF; id:282; category:PDF files; msg:"PDF file "; rev:1; content:| 25 50 44 46 2D 31 2E 30|; offset:0;

snort中比较复杂的结构很多，今天和大家分享一下snort的规则设计的数据结构：规则头和规则选项 先从一条规则实例开始分析： alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...

解析完一条规则后，会调用FinishPortListRule函数将该规则进行归类。归类的原则是 Finish adding the rule to the port tables 1) find the table this rule should belong to (src/dst/any-any tcp,udp,icmp,ip or nocontent) 2) fi...

snort的规则文件系统中包含很多配置，其中一些配置依赖于其他的配置项，使得snort规则解析分为两步，第一步解析配置的变量。 例如ipvar HOME_NET any 这是一个ip变量的设置，关键字ipvar 、HOME_NET :变量名、any :变量值；定义完之后，就可以在规则中使用，例如 alert tcp $EXTERNAL_NET any -> $HOME_NET $HTT...

fwsnort是将snort规则转换成iptables规则，由于snort规则大部分是基于应用层的数据进行检测，所以使用字符串搜索、正则（pcre）等算法进行识别，所以有的规则转换会失败。 先验一下iptables的字符串匹配扩展，根据下面的这篇博客，操作就能验证。 https://blog.youkuaiyun.com/guoguangwu/article/details/89681820 wg...