Tập luật của Snort đơn giản để ta hiểu và viết, nhưng cũng đủ mạnh để có thể phát hiện tất cả các hành động xâm nhập trên mạng. Có ba hành động chính được Snort thực hiện khi so trùng một packet với các mẫu trong rules:
- Pass: Loại bỏ packet mà Snort bắt được
- Log: Tuỳ theo dạng logging được chọn mà packet sẽ được ghi nhận theo dạng đó.
- Alert: Sinh ra một alert tùy theo dạng alert được chọn và log toàn bộ packet dùng dạng logging đã chọn.
Dạng cơ bản nhất của một rule bao gồm protocol, chiều của gói dữ liệu và port cần quan tâm, không cần đến phần Option:
log tcp any any -> 192.168.0. 0/24 80
Rule này sẽ log tất cả các gói dữ liệu đi vào mạng 192.168.0.0/24 ở port 80.
Một rule khác có chứa Option:
alert tcp any any -> 192.168.0.0/24 80 (content:"/cgi-bin/phf"; msg: "PHF probe!";)
Rule này sẽ phát hiện các truy cập vào dịch vụ PHF trên web server và alert sẽ được tạo ra cùng với việc ghi nhận lại toàn bộ gói dữ liệu.
Vùng địa chỉ IP trong các rules được viết dưới dạng CIDR block netmask, các port có thể được xác định riêng lẻ hoặc theo vùng, port bắt đầu và port kết thúc được ngăn cách bởi dấu “:”
alert tcp any any -> 192.168. 0. 0/24 6000:6010 (msg: "X traffic";)
Các option phổ biến của Snort:
1. content: Search the packet payload for the a specified pattern. 2. flags: Test the TCP flags for specified settings.
3. ttl: Check the IP header's time-to-live (TTL) field. 4. itype: Match on the ICMP type field.
5. icode: Match on the ICMP code field.
6. minfrag: Set the threshold value for IP fragment size.
7. ack: Look for a specific TCP header acknowledgement number. 8. seq: Log for a specific TCP header sequence number.
9. logto: Log packets matching the rule to the specified filename. 10. dsize: Match on the size of the packet payload.
11. offset: Modifier for the content option, sets the offset into the packet payload to begin the content search.
12. depth: Modifier for the content option, sets the number of bytes from the start position to search through.
Thực Nghiệm Firewall Iptable và IDS Snort