在本文中,我们将了解Snort是什么以及如何配置它。Snort是最流行的IPS(入侵防御系统)和IDS(入侵检测系统)方法之一。

Snort是一个免费的、开源的网络入侵防御和检测系统。它使用基于规则的语言,执行协议分析、内容搜索/匹配,并可用于检测各种攻击和探测,如缓冲区溢出、隐形端口扫描、CGI攻击、SMB探测、操作系统指纹识别尝试等。

Snort规则提供检测攻击和恶意活动的功能。您可以编写特定的规则,如alert、log、删除连接等。规则具有简单的语法。此外,您可以在配置文件中编写所有规则,并且可以编辑您想要的其他系统。

Snort有三种不同的mod。这些mod是;

3-NIPDS(网络入侵和防御检测系统)

alert——规则操作。Snort将在满足设置条件时生成alert。

any——目标IP。Snort将查看受保护网络上的所有目标。

any——目标端口。Snort将查看受保护网络上的所有端口。

rev:1——修订号。此选项可以更轻松地进行规则维护。

classtype:icmp-event——将规则分类为“ICMP-Event”,这是预定义的Snort类别之一。此选项有助于规则组织。

如果我们想查看某个特定目标的请求,肿么办?

这很简单。只需将“any”替换为所需的IP或端口。例如,Snort规则;

在这里,$HOME_NET是在Snort.conf中定义的。

我将撰写另一篇文章,介绍如何为家庭安全网络编写Snort规则文件,以及如何设计Snort体系结构。