система виявлення вторгнень може ідентифікувати дану атаку. На лістингу показаний один з таких пакетів. Шістнадцяткове подання вмісту знаходиться зліва, а переклад в текст - справа. p align="justify"> = 55
: 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET/scripts/..%
: 35 63 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 5c% 5c../winnt/sy
: 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/
030: 63 2B 64 69 72 0D 0A c + dir ..
.4 Синтаксис формування правил в Snort
Перед тим як почати писати правила для відстеження трафіку, слід навчитися правильно їх складати і ознайомитися з синтаксичними особливостями. Найкраще буде розібрати як формується правило на прикладі. p align="justify"> tcp any any? 192.168.0.0/24 80
(content: "| 11 січня b6 a2 |"; msg: "example rule" ;)
- генерувати сигнал з використанням обраного методу і записати інформацію про пакети в журнальний файл;
Tcp - протокол, який слід перевіряти на наявність умов.
Далі по порядку вводиться IP адреса і порт відправника через стрілочку адресу і порт одержувача, тобто кому направлено пакет. У скобочках вказуються модулі які слід враховувати при фільтрації пакета. У нашому прикладі позначатимуться пакети в яких буде знайдено збіг в 16-ричном коді "00 01 86 a5", і при збігу з умовами пакет буде позначатися сполученням "mount access". p align="justify"> Тема правила має вигляд
<дію> <протокол> <відправник> <порт> <напрямок> <одержувач> <порт>
Взагалі Snort має дуже багатий вибір правил, умов, і зарезервованих слів, які можна використовувати у формуванні правил, що дозволяє досить тонко відфільтрувати трафік в мережі.
Спробуємо написати правило, яке може відстежити відвідування користувачем небудь соціальної мережі, наприклад "vkontakte.ru". Для цього відкриємо будь-який з файлів папки snort rules і впишемо туди правило
alert tcp any any? any any (msg: "ACCESS in Social web"; content: "vkontakte"; sid: 1 ;)
Розберемо це правило по командах. Це правило говорить що якщо в пакеті передається параметр "vkontakte", то пакет фіксується як тип alert і заноситься до відповідного файл звіту. Проглядається протокол tcp адреси мереж будь-які. У звіті такі пакети позначатимуться сполученням "ACCESS in social web", що говорить нам про спробу доступу в соціальну мережу. Тепер адміністратор при розгляду звітів може підмітити звідки і коли відбувався вихід, на не узгоджений політикою безпеки сайт. Так само слід відзначити наявність опції "sid1", вона потрібна для присвоєння правилом певного порядкового номера. br/>В
Рис. 2.1. Результат роботи правила на vkontakte
