Snortのシグネチャの作成方法

提供: セキュリティ
2013年10月12日 (土) 23:41時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「Snort は、カスタムのシグネチャを作成できます。 __TOC__ == 概要 == Snort は、カスタムのシグネチャを作成できます。 ==...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

Snort は、カスタムのシグネチャを作成できます。

概要

Snort は、カスタムのシグネチャを作成できます。

ルールヘッダ

Snort のシグネチャは、以下の様な書式です。

alert icmp any any -> any any (msg:"ICMP Packet"; sid:477;rev:3;)

ルールにマッチしたときに、起こすアクションを指定します。 アクションには、以下のものがあります。

ルールヘッダのアクション
アクション 説明
alert アラートを出力し、パケットの内容をログに記録します。
log パケットの内容をログに記録します。
pass パケットを通過させ、このパケットのチェックは終了します。
activate アラートを出力し、dynamic を有効にします。
dynamic activate から呼び出されて、指定された処理を実行します。

Snort が扱えるプロトコルは、以下の通りです。

シグネチャの作成

関連項目




スポンサーリンク