У Snort є п’ять основних типів правил: Правила сповіщень: Snort генерує сповіщення, коли виявлено підозрілий пакет. Правила блокування: Snort блокує підозрілий пакет і всі наступні пакети в мережевому потоці. Правила видалення: Snort скидає пакет, щойно генерується сповіщення. 24 квітня 2023 р.
Під час виконання стандартного правила Snort за замовчуванням існує п’ять дій правила: Сповіщення, пропуск, динамічний, журнал або/або активація. Найпоширенішою дією правила є «сповіщення», яке, як випливає з назви, надсилає сповіщення адміністратору мережі, якщо виявлено загрозу безпеці.
Параметри правила є серцем і душею правила Snort, оскільки вони визначають, чи потрібно передати даний пакет до місця призначення, чи натомість його слід зупинити на місці.. Кожна опція правила має власний набір специфічних для неї критеріїв, але всі вони мають однакову загальну структуру.
Первинна структура правила хропіння показана нижче; Кожне правило має мати тип дії, протокол, IP джерела та призначення, порт джерела та призначення та параметр. Пам’ятайте, що за замовчуванням Snort знаходиться в пасивному режимі. Тому більшу частину часу ви використовуватимете Snort як IDS.
Ключове слово sid використовується для унікальної ідентифікації правил Snort. Ключове слово rev використовується для унікальної ідентифікації версій правил Snort. Ключове слово classtype використовується для класифікації правила як виявлення атаки, яка є частиною більш загального типу класу атаки. Ключове слово priority призначає правилам рівень серйозності.
П’ять основних типів правил у Snort:
- Правила сповіщень: Snort генерує сповіщення, коли виявлено підозрілий пакет.
- Правила блокування: Snort блокує підозрілий пакет і всі наступні пакети в мережевому потоці.
- Правила скидання: Snort скидає пакет, щойно генерується сповіщення.
