【TechTarget中国原创】一旦安装、配置了Snort,并已经开始工作,要考虑的下一件事情是规则。Snort规则定义了用于查找网络上潜在恶意流量的方式和标准。没有这些IDS规则,Snort仅仅只是另一个嗅探器。为了帮助你开始,这里提供四个可以查找到Snort规则的位置。
1.从Snort.org的下载官方规则快照。
在2005年三月七日,Sourcefire变更了Snort规则的许可和分布。对于其他,Sourefire创建了VRT认证规则,它是由Sourefire漏洞研究小组测试和证明的。为了开始使用这些规则和社区规则,可以查看Snort.org的常见疑难问答,然后下载从Snort.org选择的规则。如果从运行的Snort引擎上选择了正确的快照,就像在下在页上解释的一样,这些IDS规则保证可以工作。如果选择错了,Snort可能不能启动。验证你使用的Snort版本(实际上,可以获取最新版本),然后再试一下。我强烈推荐,从VRT规则开始,并向他学习。
2.使用Bleeding Snort规则
如果你喜欢Bleeding,使用Bleeding Snort规则可以达到两个目标(如果你的计算可以使你依靠Bleeding,就是三个)。首先,这个站点是最新的有实验依据的规则和思想的交换处。而这些规则可能会是假阳性,而且有时可能不会向预期那样工作,他们需要经常跟新。第二,他们完全以激活大量可靠而准确的规则为目标,而当这些规则最终用于正式的Snort.org社区的规则库中时,就可以提供长期的价值。Bleeding Snort规则本质上是测试或者beta规则,而且更适合已经测试了环境的人,以及喜欢bleeding的人或者必须更新IDS规则的人。
3.订阅Snort-Sigs列表
官方的Snort-Sigs邮件列表关注“Snort规则的讨论和开发”。订阅信息和Web档案可以在Snort.org获得。因为他们讨论过的变化,大部分来自Snort社区的新规则都可以通过Bleeding Snort解决。
4.自定义并共享规则
如果发现漏了什么,不要被编写规则吓怕了。你可以很快速很简单的编写规则。(学习如何编写,可以阅读最近的文章修改和编写自定义Snort规则)。还有,不要忘了通过Bleeding Snort规则和Snort社区共享这些规则。你可能会对面对相似问题的人提供帮助。
小心下载Snort规则的位置
最后,虽然可以在除上面提到的下载位置,在互联网上还可能找到Snort规则,但是我建议除非你真正的理解你要做的事情,否则要避免使用。规则语句已经发展到可以提供更好的方式来完成特定的目标,例如“建立”关键词,可以替换在很多环境中查看TCP的以前的方式。在John Doe的 任意网站上发现的这些McRules可能或者不能工作,所以为了安全最好避免使用。
2005年四月,Snort.org上有3166条激活的VRT规则和33条社区规则,而BleedingSnort.com的激活规则有775条,而且总是有增加。