Snort介绍与应用

以下笔记学习来自B站泷羽Sec：
B站泷羽Sec

一、文件管理概述（Snort规则配置）

在网络安全监控中，Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量，并触发相应的告警。这些规则包含多个字段，每个字段都扮演着特定的角色，共同确保网络活动的准确监控。

二、Snort规则配置字段详细描述

alert

含义：指示这是一个告警规则。当流量匹配规则时，Snort将生成告警。
示例：alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; …)

icmp/tcp/udp

含义：指定要监控的协议类型（如ICMP、TCP、UDP）。
示例：alert icmp … 或 alert tcp …

any

作为源/目标IP或CIDR：表示任意IP地址。
作为源/目标端口：表示任意端口。
示例：any any（任意源IP和端口）

< >（方向运算符）

含义：指示流量的方向。
示例：-> 表示从源到目标的流量。

$HOME_NET

含义：在Snort配置中定义的本地网络。
示例：$HOME_NET 替代具体的IP范围。

msg

含义：告警的描述性名称。
示例：msg"Test Ping Event"

sid

含义：规则的唯一签名ID。
示例：sid:1000001

rev

含义：规则的版本号，用于跟踪更新。
示例：rev:1

classtype

含义：告警的分类类型。
示例：classtype:icmp-event

content

含义：在流量中查找的特定内容。
示例：content:“Login incorrect”

三、本地账号与Snort条件子句概述

Snort可通过设置条件子句来监控本地账号相关活动，如失败的登录尝试。当满足条件时，触发告警或执行其他操作。

四、具体Snort条件子句示例及解释

示例：检查失败的telnet登录尝试
规则语句：
alert tcp $HOME_NET 23 -> any any (msg:“Failed login attempt”; content:“Login incorrect”; sid:1000002; rev:1; classtype:attempted-user;)

详细解释：
协议及源目标设定：
alert tcp：针对TCP协议的告警。
$HOME_NET 23：源网络为本地网络，端口为23（Telnet）。
-> any any：流量流向任意目标IP和端口。

告警信息及分类相关：
msg:“Failed login attempt”：告警名称为“Failed login attempt”。
content:“Login incorrect”：流量中需包含“Login incorrect”字符串。
sid:1000002：规则的唯一签名ID为1000002。
rev:1：规则版本号为1。
classtype:attempted-user：告警分类为“attempted-user”。

五、外部规则集

相关网址：
Proofpoint：可能提供网络安全规则和建议。
Emerging Threats：提供新兴威胁相关的规则集。

六、In Line部署及阻断操作

In Line部署：
Snort直接介入网络流量路径，实现实时处理。
阻断操作：
D drop：丢弃符合特定条件的流量。
sdrop：类似D drop，但具体实现可能有所不同。
reject：拒绝流量并发送拒绝响应给源端。

七、总结

通过综合运用Snort的规则配置、外部规则集以及In Line部署和阻断操作，可以实现对网络活动的全面、有效监控和安全防护。这要求管理员深入理解Snort的配置字段和条件子句，并能够根据实际情况灵活设置和调整规则，以确保网络的安全性和稳定性。