「Snortのシグネチャの作成方法」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「Snort は、カスタムのシグネチャを作成できます。 __TOC__ == 概要 == Snort は、カスタムのシグネチャを作成できます。 ==...」)
 
(相違点なし)

2013年10月12日 (土) 23:41時点における最新版

Snort は、カスタムのシグネチャを作成できます。

概要

Snort は、カスタムのシグネチャを作成できます。

ルールヘッダ

Snort のシグネチャは、以下の様な書式です。

alert icmp any any -> any any (msg:"ICMP Packet"; sid:477;rev:3;)

ルールにマッチしたときに、起こすアクションを指定します。 アクションには、以下のものがあります。

ルールヘッダのアクション
アクション 説明
alert アラートを出力し、パケットの内容をログに記録します。
log パケットの内容をログに記録します。
pass パケットを通過させ、このパケットのチェックは終了します。
activate アラートを出力し、dynamic を有効にします。
dynamic activate から呼び出されて、指定された処理を実行します。

Snort が扱えるプロトコルは、以下の通りです。

シグネチャの作成

関連項目