Snort3 IPS规则编写

1.规则基础

Snort规则被分为两个逻辑部分，规则头和规则选项。

规则头包含规则的操作、协议、源和目标IP地址，以及源和目标端口信息。

规则选项部分包含警报消息和应该检查数据包的哪些部分的信息，以确定是否应该采取规则操作。

 

规则举例：

 

注：第一个括号之前的文本是规则标题，括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。

2.规则头

规则头包含规则的操作、协议、源和目标IP地址和网掩码，以及源和目标端口信息。规则中的第一项是该规则。

Eg:alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg:"mountd access";)

2.1规则动作

规则动作告诉Snort，当它找到匹配规则条件的数据包时，该做什么。在Snort、警报、日志、传递中有3个可用的默认操作。此外，在内联模式下运行Snort，还有其他选项，包括删除、拒绝和删除。

2.1.1 内置规则动作

1）alert - 生成一个警报，然后记录日志

2）log - 记录日志

3）pass - 忽略

4）drop - 阻止并记录日志 

5）reject - 阻止数据并记录日志，如果协议是TCP，则发送TCP重置，如果协议是UDP，则发送ICMP端口不可访问的消息。

6）react 向客户端发送响应，并终止会话

7）block ??

8）reset ??

2.1.2 自定义规则动作

定义自己的规则类型，并将一个或多个输出插件与它们关联起来。然后将规则类型作为Snort规则中的操作。

示例将创建一个类型，它将日志记录到tcpdump：

ruletype suspicious

{

type log

output log_tcpdump: suspicious.log

}

示例将创建一个规则类型，它将日志到syslog和tcpdump：数据库

ruletype redalert

{

type alert

output alert_syslog: LOG_AUTH LOG_ALERT

output log_tcpdump: suspicious.log

}

2.2 规则协议

规则中的下一个字段是协议。Snort目前有五种协议：ip, icmp, tcp, udp, http。

2.3 规则IP

1)单个IP格式:

Alert tcp 10.0.116.56 any -> 10.0.116.58 any ( msg:”ip any” )

2)IP组格式: 

alert tcp [10.0.116.1,10.0.116.56,10.0.116.60] any -> any any ( msg:"test pcre and content!"; )

alert tcp 192.168.1.0/24 any -> any any ( msg:"test pcre and content!"; )

alert tcp [192.168.1.0/10, 192.168.1.15/20] any -> [ 192.168.1.20/30] any ( msg:"test pcre and content!"; )

3)IP取反格式: !

Alert tcp !10.0.116.56 any -> 10.0.116.58 any ( msg:”ip any” )

alert tcp ![10.0.116.1,10.0.116.56,10.0.116.60] any -> any any ( msg:"test pcre and content!"; )

alert tcp ![192.168.1.0/10, 192.168.1.15/120] any -> any any ( msg:"test pcre and content!"; )

4)IP组使用变量

alert tcp $HOME_NET any -> any any ( msg:"test pcre and content!"; )

5)表示所有IP

alert tcp any any -> any any ( msg:"test pcre and content!"; )

2.4 规则端口

1)单个端口

alert tcp any 90-> any 80 ( msg:"test pcre and content!"; )

2)多个端口

alert tcp any 90:100-> any 80:100 ( msg:"test pcre and content!"; )

alert tcp any 90:  -> any  :100 ( msg:"test pcre and content!"; )

alert tcp any [90,9090,80,443]  -> any  :100 ( msg:"test pcre and content!"; )

alert tcp any  ![90:100]-> any 80:100 ( msg:"test pcre and content!"; )

alert tcp any  !90:  -> any  :100 ( msg:"test pcre and content!"; )

alert tcp any  !443  -> any  :100 ( msg:"test pcre and content!"; )

alert tcp any  ![90,9090,80,443]  -> any  :100 ( msg:"test pcre and content!"; )

3)使用变量

alert tcp any  $HTTP_PORTS  ->  any  :100 ( msg:"test pcre and content!"; )

2.5 规则方向操作符

Eg1:->

alert tcp any 90 -> any 80 ( msg:"test pcre and content!"; )

Eg2:<-

alert tcp any 90 <- any 80 ( msg:"test pcre and content!"; )

Eg3:<>

alert tcp any 90 <> any 80 ( msg:"test pcre and content!"; )

3 规则选项

规则选项构成了Snort入侵检测引擎的核心，结合了易用性、通用和灵活性。所有的Snort规则选项都使用分号（；）字符相互分隔。规则选项关键字与具有冒号（：）字符的参数分隔。规则选项主要有四类。

General 提供了有关该规则的信息，但在检测过程中没有任何影响

Payload 查找数据包有效负载中的数据，并且可以相互关联

non-payload 非有效负载数据

post-detection 是在规则“触发”后发生的特定于规则的触发器。

3.1 一般规则选项

3.1.1 msg

msg规则选项告诉日志记录和警报引擎打印消息。它是一个简单的文本字符串，它使用\作为转义字符来指示一个离散字符，否则可能会混淆Snort的规则解析符（例如分号字符）

Format

msg:"<message text>";

Eg：alert tcp any 90 <> any 80 ( msg:"test pcre and content!"; )

3.1.2 reference

包含对外部攻击识别系统的引用。该插件目前支持几个特定的系统以及唯一的url。此插件将被输出插件用来提供一个指向有关所产生的警报的其他信息的链接

Format

reference:<id system>, <id>; [reference:<id system>, <id>;]

Eg:

alert tcp any any -> any 7070 (msg:"IDS411/dos-realaudio"; flags:AP; content:"|fff4 fffd 06|"; reference:arachnids,IDS411;)

alert tcp any any -> any 21 (msg:"IDS287/ftp-wuftp260-venglin-linux"; flags:AP; content:"|31c031db 31c9b046 cd80 31c031db|"; reference:arachnids,IDS287; reference:bugtraq,1387; reference:cve,CAN-2000-1574;)

3.1.3 gid

gid关键字(生成器id)用于识别当特定规则触发时，Snort的哪个组件生成事件。例如，gid与规则子系统相关联，超过100的都是为特定的预处理器和解码器指定的各种gid。

gid关键字是可选的，如果在规则中没有指定它，它将默认为0，并且该规则将是通用规则子系统的一部分。为了避免与Snort中定义的gid（由于某些原因没有注意到它等）的潜在冲突，建议使用从100万开始的值。此选项应该与sid关键字一起使用。

Format

gid:<generator id>;

Example

alert tcp any any -> any 80 (content:"BOB"; gid:1000001; sid:1; rev:1;)

注：内置规则的gid查询：

 

3.1.4 sid

sid关键字用于唯一标识Snort规则。通常与rev一起使用

<100 snort预留的

Format

sid:<snort rules id>;

Example

alert tcp any any -> any 80 (content:"BOB"; sid:1000983; rev:1;)

3.1.5 rev

rev关键字用于唯一标识Snort规则的修订版本。通常与sid一起使用

Format

rev:<revision integer>;

Example

alert tcp any any -> any 80 (content:"BOB"; sid:1000983; rev:1;)

3.1.6 classtype

classtype关键字用于将规则分类。Snort提供了一组默认的攻击类，它提供的默认规则集使用。

Format

classtype:<class name>;

Example

alert tcp any any -> any 25 (msg:"SMTP expn root"; flags:A+; \ content:"expn root"; nocase; classtype:attempted-recon;)

 

3.1.7 priority