我正在开发一个项目,该项目涉及更改规则的顺序,以使IDS流程更快,更高效。 我只需找到在snort警报文件中生成任何警报的规则所在的位置。 (我的意思是规则位于哪一行,哪个规则文件?) 任何人都可以帮我找出来吗?
答案 0 :(得分:0)
在配置文件中查找规则:
您可以使用snort规则的签名ID。
例如,
[**] [1:5000361:0] need-to-know - suspicious spammed domain [**]
此处签名ID为5000361。
或者,您可以在配置文件中搜索警报中显示的参考资料
[Xref => url www.spamhaus.org/query/dbl?domain=xxxxxxx.com]
在上面一行中,引用为www.spamhaus.org/query/dbl?domain=xxxxxxx.com
使用-c选项指定Snort配置文件,后跟配置文件的名称,通常命名为snort.conf。由于使用该选项指定,因此它可以位于系统的任何位置。通常可以在/usr/local/etc/snort.conf或安装snort的目录中找到它。
答案 1 :(得分:0)
这个问题没有任何意义。 "我正在开展一个项目,该项目涉及更改规则的顺序,使IDS流程更快,更高效。"
这意味着如果您更改snort规则在文件中的顺序,那么它将更改它们的评估顺序,这是完全错误的。 snort在规则评估方面的工作方式要复杂得多,为了提高效率,必须使规则更有效。对于snort,规则中最重要的部分是fast_pattern关键字。即使您未在规则中指定fast_pattern,snort也会自动选择规则中最长内容匹配,该匹配至少为3个字符,并将其用作fast_pattern。对于snort中的每个数据包,都会为该数据包构建一个规则评估树,这些规则的顺序与它们存储在配置文件中的顺序完全无关。 Snort将只读取配置中的所有规则,并且在运行时收到数据包时确定它们的评估顺序。