4. Xây dựng và quản lý các tập luật
4.3.1.Các Header của luật
Các header là phần đầu tiên của một luật, header định nghĩa trong gói tin chứa những gì. Header bao gồm (hành động, giao thức, địa chỉ IP nguồn, port nguồn, hướng di chuyển của gói tin, địa chỉ IP đích, port đích) Có thể xem nó như phần mô tả của các kết nối mạng, bốn thành phần xác định duy nhất một kết nối là: source IP, source port, destination IP, destination port. Header cũng bao gồm
chỉ hướng đi của gói tin đó, được xác định bằng -> hoặc là <>. Dưới đây là một phần của 1 luật chuẩn dùng để đưa ra cảnh báo khi có 1 hành động quét SYN FIN đang diễn ra.
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN SYN FIN";flags:SF; reference:arachnids,198; classtype:attempted-recon; sid:624; rev:1;)
Phần nằm trong dấu ngoặc đơn “(“ “)” là các tùy chọn của các luật. Đây là nơi xác định các thông báo mặc định, các cờ và các kiểu tấn công. Các tùy chọn của luật sẽ được trình bày ở phần sau.
• Phần đầu tiên trong header là trường hành động (action field), trong ví dụ trên cảnh báo là định nghĩa cho hành động khi luật được so sánh trùng khớp. Các giá trị có thể của hành động bao gồm:
alert
Đưa ra cảnh báo và ghi log khi so sánh trùng khớp.
log
Chỉ ghi log các gói tin khi so sánh trùng khớp.
pass
Bỏ qua các gói tin khi so sánh trùng khớp.
activate
Cảnh báo và sau đó kích hoạt một luật hoặc một tập luật.
dynamic
Bỏ qua cho đến khi được kích hoạt bởi luật activate.
• Trường tiếp theo là phần Protocol. Các giao thức này có thể là IP, TCP, UDP hoặc ICMP (những giao thức mới được cập nhật trong các phiên bản mới bao gồm ARP, IGPR, GRE, OSPF, RIP…).
• Source IP là phần tiếp theo. Source IP có thể là một biến hoặc một danh sách địa chỉ IP. Là địa chỉ IP của bên gửi các gói tin. Nhiều địa chỉ IP có thể dùng trong trường hợp này bằng cách dùng danh sách địa chỉ IP, danh sách địa chỉ IP và netmask của chúng nằm trong 1 dấu ngoặc vuông và phân cách bằng 1 dấu phẩy.
Ví du:
alert tcp [64.147.128.0/19,198.60.72.0/23] any -> $HOME_NET any
• Port: Sau địa chỉ IP là port. Cách viết port được xác định thông qua các ví dụ sau:
- 23 xác định cổng telnet - 21:23 các cổng từ 21 đến 23
- :23 các cổng nhỏ hơn hoặc bằng 23 - 23: Các cổng lớn hơn hoặc bằng 23
Khi định nghĩa cho giao thức ICMP thì không cần giá trị port sau giao thức ICMP
Ví dụ: Xác định những gói tin với giao thức tcp, địa chỉ IP nguồn
64.147.128.0/19,198.60.72.0/23, port nguồn 21 đến 23 (FTP đến telnet) tới mạng đích HOME_NET với cổng đích bất kỳ:
alert tcp [64.147.128.0/19,198.60.72.0/23] 21:23 -> $HOME_NET any
• Chiều giao tiếp (Traffic Direction): Sau phần port là chiều giao tiếp, chiều di chuyển của các gói tin bao gồm -> hoặc <>.
• Trường cuối cùng là địa chỉ IP đích và port đích. Các viết giống như viết địa chỉ IP nguồn và port nguồn.