?

?

0x00 一條簡單的規(guī)則

alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1)

• alert：表示如果此條規(guī)則被觸發(fā)則告警
• tcp：協(xié)議類型
• ip地址：源/目的IP地址
• any/80：端口號
• ->：方向操作符，還有<>雙向。
• msg：在告警和包日志中打印消息
• sid：Snort規(guī)則id …

這條規(guī)則看字面意思就很容易理解。Snort就是利用規(guī)則來匹配數(shù)據(jù)包進行實時流量分析，網(wǎng)絡(luò)數(shù)據(jù)包記錄的網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)(Network Intrusion Detection/Prevention System),也就是NIDS/NIPS。

0x01 SNORT目錄結(jié)構(gòu)

建議將Snort的目錄結(jié)構(gòu)配置成如下：

/etc/snort├── barnyard2.conf barnyard2日志分析工具配置文件├── snort.conf snort配置文件（關(guān)鍵）├── threshold.conf 事件過濾配置文件├── classification.config 規(guī)則分類配置文件(classtype)├── reference.config 外部參考配置文件(reference)├── gen-msg.map generate id 和 msg 對應(yīng)關(guān)系map├── sid-msg.map snort id 和 msg對應(yīng)關(guān)系map├── unicode.map 預(yù)處理器http_inspect編碼翻譯文件├── preproc_rules 預(yù)處理器及解碼器規(guī)則集│ ├── decoder.rules │ ├── preprocessor.rules│ └── sensitive-data.rules├── rules Snort規(guī)則集（關(guān)鍵）│ ├── web-iis.rules │ ├── web-php.rulesMore…├── so_rules Share Object規(guī)則集│ ├── browser-ie.rules│ ├── browser-other.rules More…

0x02 snort.conf配置文件

此文件是配置snort的核心文件，包括以下幾部分：1) Set the network variables. 設(shè)置各類網(wǎng)絡(luò)地址，規(guī)則中易于使用2) Configure the decoder 設(shè)置解碼器3) Configure the base detection engine 設(shè)置基礎(chǔ)檢測引擎4) Configure dynamic loaded libraries 設(shè)置動態(tài)鏈接庫5) Configure preprocessors 設(shè)置預(yù)處理器6) Configure output plugins 設(shè)置輸出插件7) Customize your rule set 設(shè)置自定義規(guī)則8) Customize preprocessor and decoder rule set設(shè)置預(yù)處理、解碼器規(guī)則9) Customize shared object rule set 設(shè)置共享對象規(guī)則集

0x03 SNORT體系結(jié)構(gòu)

• 數(shù)據(jù)包嗅探模塊，主要負責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，并根據(jù)TCP/IP協(xié)議解析數(shù)據(jù)包。
• 預(yù)處理模塊，1.包重組預(yù)處理器，它的作用是為了防止攻擊信息被拆分到多個包中而 逃避了Snort的檢測；2.協(xié)議編碼預(yù)處理器，它的功能是把數(shù)據(jù)包協(xié)議解碼成一個統(tǒng)一的格式，再傳送給檢測模塊；3.協(xié)議異常檢測預(yù)處器。
• 檢測引擎模塊，當(dāng)預(yù)處理器把數(shù)據(jù)包送過來后，檢測引擎將這些數(shù)據(jù)包與三維鏈表形式的檢測規(guī)則進行匹配，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報警模塊。
• 報警/日志模塊，檢測引擎將數(shù)據(jù)包傳送給報警模塊后，報警模塊會根據(jù)規(guī)則定義（alert，log..）對其進行不同的處理（數(shù)據(jù)庫，日志）。

下面分別詳細介紹這四大模塊。

0x04 解碼模塊與預(yù)處理模塊

4.1 模塊介紹

由于解碼模塊和預(yù)處理模塊功能類似，都是在規(guī)則檢測引擎之前對數(shù)據(jù)包的處理，所以兩個模塊一并介紹。 解碼模塊主要是將從監(jiān)控網(wǎng)絡(luò)當(dāng)中抓取的原始網(wǎng)絡(luò)數(shù)據(jù)包，按照各個網(wǎng)絡(luò)協(xié)議棧從下至上進行解碼，并將解碼數(shù)據(jù)保存到各個對應(yīng)的數(shù)據(jù)結(jié)構(gòu)當(dāng)中，最后交由預(yù)處理模塊進行處理。

解碼后的數(shù)據(jù)包經(jīng)過預(yù)處理之后才能被主探測引擎進行規(guī)則匹配。預(yù)處理器的主要用來應(yīng)對一些IDS攻擊手段。其作用包括：

1)針對可疑行為檢查包或修改包，以便探測引擎能對其正確解釋。 2)負責(zé)對流量標(biāo)準化，以便探測引擎能精確匹配特征。

目前已知的IDS逃避技術(shù)主要有：

1)– 多態(tài)URL編碼； 2)– 多態(tài)shellcode； 3)– 會話分割； 4)– IP碎片；

Snort主要包含以下三類預(yù)處理器（舉例說明）：

1)包重組預(yù)處理器：

• frag3：IP分片重組和攻擊監(jiān)測。
• stream：維持TCP流狀態(tài)，進行會話重組。

2)協(xié)議規(guī)范化預(yù)處理器：

• http_inspect：規(guī)范HTTP流。
• rpcDecode：規(guī)范RPC調(diào)用。

3)異常檢測預(yù)處理器：

• ARP spoof：檢測ARP欺騙。
• sfPortscan：檢測端口掃描。

4.2 模塊配置

配置分兩個步驟，都是在snort.conf中配置。

1.snort.conf的2)和5)中配置解碼器或者預(yù)處理參數(shù)。

2.snort.conf的8)中啟用檢測規(guī)則。

4.2.1 解碼器配置舉例

1.配置解碼器

config disable_decode_alerts 關(guān)閉decode告警。 config enable_decode_oversized_alerts如果一個包（IP,UDP,TCP）長度長于length字段，則告警。 # Stop generic decode events

格式為config docoder [option],使用#作為注釋

2.啟用解碼器檢測規(guī)則

include $PREPROC_RULE_PATH/decoder.rules

snort.conf文件中使用include關(guān)鍵詞包含配置文件和規(guī)則文件。

3.在decoder.rules中我們找到了檢測IP長度異常的規(guī)則。

alert ( msg:"DECODE_IPV4_DGRAM_GT_IPHDR"; sid:6; gid:116; rev:1; metadata:rule-type decode;classtype:protocol-command-decode; )

4.2.2 預(yù)處理器http_insepect配置舉例

1.下面是http_inspect默認的配置

preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decompress_depth 65535 #unicode.map是http_inspect解碼unicode時的解碼文件。 preprocessor http_inspect_server: server default \ http_methods { GET POST PUT SEARCH MKCOL ...} \... enable_cookie #將http請求或響應(yīng)中的cookie提取到緩存，用于后面規(guī)則匹配。normalize javascript #對標(biāo)簽中的js腳本解碼。...

2.啟用預(yù)處理器規(guī)則

#include $PREPROC_RULE_PATH/preprocessor.rules

下面是一條解碼器規(guī)則：

alert ( msg:"DECODE_TCP_INVALID_OFFSET"; sid:46; gid:116; rev:1; metadata:rule-type decode; reference:cve,2004-0816; classtype:bad-unknown; )

發(fā)現(xiàn)這條規(guī)則和之前看到的不一樣，它沒有源/目的IP，端口等信息，說明這條規(guī)則是由解碼器自動觸發(fā)的，用戶不需要干預(yù)。 一般我們也不需要去修改解碼器或者預(yù)處理器的規(guī)則，只需要去snort.conf中添加、配置或者刪除插件即可。

0x05檢測引擎模塊

規(guī)則結(jié)構(gòu) alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) |---||---||---||---||---||---||---||---||---||--規(guī)則頭---||---||---||---||---||---||---||---||--||---||---||---||-規(guī)則選項---||---||---||---||-|

5.1 規(guī)則頭

動作：

在snort中有五種動作：alert、log、pass、activate和dynamic.

1)Alert： 生成一個告警，然后記錄（log）這個包。2)Log： 記錄這個包。3)Pass： 丟棄這個包。4)Activate： alert并且激活另一條dynamic規(guī)則。5)Dynamic：保持空閑直到被一條activate規(guī)則激活，被激活后就作為一條log規(guī)則執(zhí)行。

協(xié)議：

Snort當(dāng)前可分析的協(xié)議有四種：TCP,UDP,ICMP和IP。將來可能會更多，例如：ARP、IGRP、GRE、OSPF、RIP、IPX等。

IP地址：

1)地址就是由直接的ip地址或一個CIDR塊組成的。也可以指定ip地址列表，一個ip地址列表由逗號分割的ip地址和CIDR塊組成，并且要放在方括號內(nèi) [,]。 2)否定操作符用!表示。 3)關(guān)鍵字“any”可以被用來定義任何地址。

例如：

alert tcp ![192.168.1.0/24,10.1.1.0/16] any -> 192.168.2.1 80(msg:”notice!”;content|xxxx|;)

方向操作符：

方向操作符->

表示規(guī)則所施加的流的方向。方向操作符左邊的ip地址和端口號被認為是流來自的源主機，方向操作符右邊的ip地址和端口信息是目標(biāo)主機，還有一個雙向操作符<>。

端口號：

1)端口號可以用幾種方法表示，包括any端口、靜態(tài)端口定義、范圍、以及通過否定操作符。 2)靜態(tài)端口定義表示一個單個端口號，例如111表示portmapper，23表示telnet，80表示http等等。 3)端口范圍用范圍操作符“:”表示.比如，80:?,?:1024?,80:1024

5.2 規(guī)則選項

規(guī)則選項分為四大類：

1)General rule option 通用規(guī)則選項 2)Payload detection rule option 負載檢測規(guī)則選項 3)Non-Payload detection rule option 非負載檢測規(guī)則選項 4)Post detection rule option 后檢測規(guī)則選項

5.2.1 General rule option通用規(guī)則選項

sid

snort id ,這個關(guān)鍵字被用來識別snort規(guī)則的唯一性（說的其實嚴禁，后面會有補充）。sid 的范圍是如下分配的：

• <100 保留做將來使用
• 100-1000,000 包含在snort發(fā)布包中
• >1000,000 作為本地規(guī)則使用

msg

標(biāo)示一個消息，但是規(guī)則中的msg不起作用，sid和msg的對應(yīng)關(guān)系查閱sid-msg.map。

sid-msg.map

格式：sid || msg

例子：384 || PROTOCOL-ICMP PING?在/etc/snort/rules/protocol-icmp.ruls中我們找到了這條規(guī)則：?alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"PROTOCOL-ICMP PING"; icode:0; itype:8; metadata:ruleset community; classtype:misc-activity; sid:384; rev:8;)

此文件作用是將sid與msg的一一對應(yīng)，否則，在告警中會出現(xiàn)下圖中第一條的現(xiàn)象。

此文件用于自定義規(guī)則中sid與msg的對應(yīng)和在snort自有規(guī)則中自定義告警信息。 上圖中Snort Alert[1:1000015:0]其中內(nèi)容對應(yīng)為Snort alert[gid:sid:rev]。這說明一個規(guī)則需要這三個因素才能確定,之前說只有sid唯一標(biāo)示一條規(guī)則是不嚴謹?shù)摹?/p>

gid

generate id，作用是為了說明這條規(guī)則是snort的哪部分觸發(fā)的。比如是由解碼器、預(yù)處理器還是Snort自有規(guī)則等。查看/usr/local/share/doc/snort/generators文件（此文件不是配置文件）：rules_subsystem 1 # Snort Rules Engine rpc_decode 106 # RPC Preprocessor(預(yù)處理器) stream4 111 # Stream4 preprocessor（預(yù)處理器） ftp 125 # FTP decoder（解碼器） ... ...

decoder和preprocessor的gid就不一一列舉，可以看到Snort Rule Engine的gid為1，自定義規(guī)則和snort自有規(guī)則（也就是/etc/snort/rules目錄下的規(guī)則）gid默認是1。但是這里我們獲知decoder和preprocessor也是有sid的。 舉例說明：

/etc/snort/rules/protocol-icmp.rules中的一條規(guī)則：

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:“PROTOCOL-ICMP Traceroute”; icode:0; itype:30; metadata:ruleset community; classtype:misc-activity; sid:456; rev:8;)

gid默認為1

/etc/snort/preproc_rules/decoder.rules中的一條規(guī)則：

alert ( msg:"DECODE_IP6_EXCESS_EXT_HDR"; sid:456; gid:116; rev:1; metadata:rule-type decode; classtype:misc-activity; )

可以看到兩條規(guī)則的sid是相同的，所以還需要gid來區(qū)分。

gen-msg.map

這個文件和sid-msg.map作用類似，在邏輯上應(yīng)該是包含了sid-msg.map（sid-msg.map相當(dāng)于默認gid為1）

格式：generatorid || alertid(sid) || MSG

例子：

1 || 1 || snort general alert 129 || 2 || stream5: Data on SYN packet 116 || 271 || snort_decoder: WARNING: IPv6 header claims to not be IPv6 116 || 456 || snort_decoder: WARNING: too many IPV6 extension headers #例子 ...

拿gid中第二條規(guī)則舉例，如果此條規(guī)則被觸發(fā)，則會報snort_decoder: WARNING: too many IPV6 extension headers告警，而不是DECODE_IP6_EXCESS_EXT_HDR。所以規(guī)則中的msg僅僅起到標(biāo)示作用，告警msg需要在sid-msg.map和gen-msg.map這兩個文件中對應(yīng)查找。

rev

這個關(guān)鍵字是被用來識別規(guī)則修改的版本，需要和sid,gid配合使用。 這樣就介紹完了gid，sid，rev三個確定規(guī)則唯一的元素。

reference

外部攻擊參考，這個關(guān)鍵字允許規(guī)則包含一個外面的攻擊識別系統(tǒng)。這個插件目前支持幾種特定的系統(tǒng)，這些插件被輸出插件用來提供一個關(guān)于產(chǎn)生報警的額外信息的連接。

reference.config

格式：config reference: system URL

例子：?config reference: cve http://cve.mitre.org/cgi-bin/cvename.cgi?name=?定義了一些外部安全網(wǎng)站的網(wǎng)址。比如規(guī)則中定義reference: cve,1001,那么就像在上面的網(wǎng)址后面添加了1001，http://cve.mitre.org/cgi-bin/cvename.cgi?name=1001，最后點擊告警中的[cve]，就會跳轉(zhuǎn)到相應(yīng)的網(wǎng)址。注：reference也需要在sid-msg.map中與sid對應(yīng)，否則不起作用，類比msg。

classtype

規(guī)則類別標(biāo)識。這個關(guān)鍵字把報警分成不同的攻擊類。通過使用這個關(guān)鍵字和使用優(yōu)先級，用戶可以指定規(guī)則類中每個類型所具有的優(yōu)先級。

priority

設(shè)置classtype的優(yōu)先級。classtype和priority是配合使用的，classification.config文件將其聯(lián)系起來。

classification.config

格式：?config classification:shortname,short description,priority

例子：?config classification: attempted-admin,Attempted Administrator Privilege Gain,1?寫在此文件中的都是默認值，priority關(guān)鍵詞可以在規(guī)則中重寫優(yōu)先級。 例子：?alert tcp any any -> any 80 (msg:"EXPLOIT ntpdx overflow"; dsize:>128; classtype:attempted-admin; priority:10 );

metadata

可以在規(guī)則中添加自定義的信息，一般以鍵值對的形式出現(xiàn)。

通用規(guī)則選項只是對一條規(guī)則進行標(biāo)示，分類等操作，并沒有進行實際的過濾檢測。

5.2.2 Payload Detection Rule Options 負載檢測規(guī)則選項

content

content是Snort重要的關(guān)鍵詞之一。它規(guī)定在數(shù)據(jù)包的負載中搜索指定的樣式。它的選項數(shù)據(jù)可以包含混合的文本和二進制數(shù)據(jù)。二進制數(shù)據(jù)一般包含在管道符號中“|”，表示為字節(jié)碼（bytecode），也就是將二進制數(shù)據(jù)的十六進制形式。

alert tcp any any -> any 139 (content:"|5c 00|P|00|I|00|P|00|E|00 5c|";) alert tcp any any -> any 80 (content:!“GET”;)

content還有很多修飾符：

Nocase content字符串大小寫不敏感 rawbytes 直接匹配原始數(shù)據(jù)包 Depth 匹配的深度 Offset 開始匹配的偏移量 Distance 兩次content匹配的間距 Within 兩次content匹配之間至多的間距 http_cookie 匹配cookie http_raw_cookie 匹配未經(jīng)normalize的cookie http_header 匹配header http_raw_header 匹配未經(jīng)normalize的header http_method 匹配method http_url 匹配url http_raw_url 匹配日在未經(jīng)normalize的url中 http_stat_code 匹配狀態(tài)碼中匹配 http_stat_msg 匹配狀態(tài)信息 http_encode 匹配編碼格式

http開頭的修飾符需要配合前面介紹過的預(yù)處理器http_inspect一起使用。

pcre

允許用戶使用與PERL語言相兼容的正則表達式。

格式?pcre:[!]"(/<regex>/|m<delim><regex><delim>)[ismxAEGRUBPHMCOIDKY]

例子：
alert tcp any any -> any 80 (content:“/foo.php?id="; pcre:"/\/foo.php?id=[0-9]{1,10}/iU";)?正則的細節(jié)查閱snort_manual。

protected_content

將content中的查詢內(nèi)容使用hash算法加密，保護規(guī)則的私密性。?protected_content:[!]"<content hash>", length:orig_len[, hash:md5|sha256|sha512];

rawbytes

忽略解碼器及預(yù)處理器的操作，直接匹配原始網(wǎng)絡(luò)包。

上面只列舉出了一些常用的payload detection rule option，更多的關(guān)鍵詞查閱snort_manual。

5.2.3 Non-Payload Detection Rule Option非負載檢測規(guī)則選項

Fragoffset IP 偏移量 Ttl IP 生存時間 Tos IP 服務(wù)類型 Id IP 標(biāo)識 Ipopts IP 可選項 Fragbits IP 標(biāo)志 Dsize 數(shù)據(jù)包負載量 Flags TCP flags Seq TCP seq Ack TCP ack Window TCP window Icmp_id ICMP ID

此類規(guī)則選項都是對數(shù)據(jù)包幀結(jié)構(gòu)中特殊字段的匹配。

5.2.4 Post-Detection Rule Option后檢測規(guī)則選項

Logto 輸出日志路徑 Session 從TCP會話中獲取用戶數(shù)據(jù) Resp 通過發(fā)送響應(yīng)結(jié)束惡意的請求 React 不僅僅記錄觸發(fā)規(guī)則的特定數(shù)據(jù)包 Tag 不僅僅記錄觸發(fā)規(guī)則的特定數(shù)據(jù)包 Activates activate動作 Activates_by dynamic動作 Count dynamic規(guī)則被觸發(fā)后可以匹配的包的數(shù)目 Replace 替換content內(nèi)容 Detection-filter 檢測過濾

5.3 檢測引擎模塊配置

1.在/etc/rules目錄下的*.rules文件中寫規(guī)則。 2.snort.conf 7)中include對應(yīng)規(guī)則。

include $RULE_PATH/local.rules #include $RULE_PATH/app-detect.rules #include $RULE_PATH/attack-responses.rules #include $RULE_PATH/backdoor.rules #include $RULE_PATH/bad-traffic.rules #include $RULE_PATH/blacklist.rules

0x06 Snort告警/日志模塊

6.1 輸出模塊配置

snort.conf 6):Configure output plugins 設(shè)置日志路徑?config logdir：/var/log/snort?設(shè)置輸出格式為unified2：?output unified2: filename snort.log, limit 128

barnyard2.conf

barnyard2的作用是將unified2格式的數(shù)據(jù)存入數(shù)據(jù)庫 設(shè)置與snort日志關(guān)聯(lián)?config waldo_file:/var/log/snort/barnyard.waldo?設(shè)置數(shù)據(jù)庫?output database: log, mysql, user=snort password=123456 dbname=snort host=localhost

6.2 數(shù)據(jù)庫

ER圖

schema

vseq：數(shù)據(jù)庫模式ID ctime：數(shù)據(jù)庫創(chuàng)建時間

信息表，和其他數(shù)據(jù)庫內(nèi)容上沒有聯(lián)系

sensor

sid：傳感器代號 hostname：傳感器所屬的用戶名稱 Interface：傳感器對應(yīng)的網(wǎng)絡(luò)接口 filter：對應(yīng)傳感器的過濾原則 detail：表示傳感器監(jiān)測模式，記錄模式詳細程度的級別 encoding：包含數(shù)據(jù)存在形式 last_cid： 對應(yīng)每個sid即傳感器捕獲告警的最后一個值

detail

0-fast快速檢測 1-full全面檢測

傳感器sensor的檢測級別。

encoding

0- Hex 1- base64 2- asci

數(shù)據(jù)包中數(shù)據(jù)的存在形式。

event

sid：sensor id，傳感器id。 cid；event id 事件id。sid和cid共同作為主碼，其中cid是在sid的基礎(chǔ)上進行排序的。每個sid對應(yīng)自己的cid排序。 signature：對應(yīng)signature表格中的sig_id選項，表明這條告警事件所屬的規(guī)則形式的告警對應(yīng)哪一類rules。 timestamp：對應(yīng)告警事件發(fā)生的系統(tǒng)時間。

最核心的一張表，告警的每一條數(shù)據(jù)都會存儲在event表中，一條event數(shù)據(jù)就代表一個包。

signature

sig_id： 總數(shù)代表發(fā)生告警種類的總數(shù)。是告警種類的主碼。唯一標(biāo)識一條規(guī)則。 sig_name：告警名稱。對應(yīng)每條alert語句的Msg。 sig_class_id：對應(yīng)sig_class表格中的sig_class_id.代表告警種類的大類信息。 sig_priority：告警的優(yōu)先級 sig_rev：版本號 sig_sid：snort id sig_gid：generate id

存儲snort規(guī)則的一張表，可以看到sig_sid,sig_gid,sig_rev分別對應(yīng)規(guī)則中的sid,gid,rev。注意規(guī)則中的snort id和數(shù)據(jù)庫中的 sensor id注意區(qū)分。

sig_reference

sig_id：對應(yīng)的告警種類。 ref_id：對應(yīng)reference表格中的主碼 ref_seq：參考序列號

提供報警種類信息signature的參考信息。將signature與reference聯(lián)系起來的表格。

reference

Ref_id：主碼 Ref_system_id：對應(yīng)reference_system表格 Ref_tag：規(guī)則中 cve,bugtraq 后面的參數(shù)

reference_system

ref_system_id：主碼 ref_system_name：reference system的名字，如cve，url等。

sig_class

sig_class_id：分類編號 sig_class_name：分類名稱

signature告警種類的分類信息。

iphdr

tcphdr

udphdr

icmphdr

data

data_payload：數(shù)據(jù)包有效載荷

規(guī)則中協(xié)議為tcp時，data_payload中是tcp后面的內(nèi)容

規(guī)則中協(xié)議為icmp時，data_payload中是icmp協(xié)議中的data字段值

opt

IP和OPT的option。

參考文獻：

• [1] CentOS6.6下基于snort+barnyard2+base的入侵檢測系統(tǒng)的搭建
• 2?基于Snort的C_S模式的IDS的設(shè)計與應(yīng)用_王會霞.caj
• [3] Snort 筆記1 - 3種模式簡介
• [4] Snort.conf 分析
• [5] Snort 入侵檢測系統(tǒng)簡介
• [6] Snort部署及端口掃描檢測試驗總結(jié)
• [7] Barnyard create_mysql
• [8] Snort mysql概述
• [9] Snort響應(yīng)模塊總結(jié)-實時監(jiān)聽-數(shù)據(jù)庫分析
• [10] Snort數(shù)據(jù)表項含義及ER圖
• [11] 上文的中文翻譯
• [12] Snort rules概述
• [13] Snort安裝配置與NIDS規(guī)則編寫
• [14] Snort 筆記2 - 規(guī)則編寫
• [15] 撰寫一組SNORT規(guī)則防御SQL注入
• [16] Snort規(guī)則中的邏輯關(guān)系
• [17] Snort_manual.pdf 官方文檔中文翻譯
• [18] Snort sid-msg.map文件概述
• [19] Snort classification.config文件概述
• [20] Snort reference.config文件概述

轉(zhuǎn)載于:https://www.cnblogs.com/HacTF/p/7992787.html

總結(jié)

以上是生活随笔為你收集整理的SNORT入侵检测系统的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。