snort入侵检测基础概述

编写规则的分析

语法分析

1. alert icmp any any <> $HOME_NET any (logto:"task1";msg:"---msg---";sid:100001)<br>1　　　　2 　 3　 4   5   　　6　　　7 　　　　　　　　　　8

复制代码

1.响应机制
snort对规则的响应机制有5种

1. alert #警报并记录
2. pass #忽略
3. log  #记录<br>activation #警报并启动另一个动态规则链<br>dynamic 由其他规则包调用

复制代码

2.协议
snort能够分析的协议是：TCP、UDP和ICMP
3和4
源IP地址   源IP地址端口 #这些地址只能使用数字/CIDR
5 数据包流向
[code]->单向