【TechTarget中国原创】如果使用Snort,就可能发现有些默认规则没有用。你可能还发现需要的一些规则默认没有激活,而你可能需要修改一些规则。因为Snort需要像杀毒软件一样定期更新规则,每次下载新规则的时候都手动创建所有的变更不太实际。还有有一个免费的工具,叫做Oinkmaster。它可以帮助维护Snort规则,并在Unix和Windows上运行。(它是用Perl语言编写的,所以在Windows上运行需要ActivePerl。)
Oinkmaster是Snort社区中的实际规则更新工具。它是经过几年的beta测试版本后,在2004年五月发布的产品版本。它是由配置文件驱动的,而在配置文件中可以正确定义它应该做什么。首先使用HTTP、 HTTPS、 FTP、文件或者SCP的方法获取最新的规则。从Snort.org获取VRT规则需要Oinkcode。然后确定更新或者跳过哪些文件、修改那些特征ID(SID)、激活那些SID、不激活哪些。你还可以“包括”一些文件到任意的深度,这可以允许使用标准的方法。Oinkmaster的配置文件备有证明文件,而且包含有用的默认设置,但是仍然必须要查看并确保下载了正在运行的Snort版本的正确的规则快照,而且增加了Oinkcode。
当使用Oinkmaster直接更新传感器的时候,较好地方法是使用一个配置文件来更新分段传输目录,并报告变更细节。一旦查看并通过了变更,就可以使用另一个配置文件来跟新传感器(查看oinkmaster.sourceforge.net上的Oinkmaster的常见疑难问答的第三个问题。)
激活或者不激活SID很容易;你要做的就是在“激活的SID”或者“没激活的SID”中增加SID。修改一条SID很困难,而且包括了创建一个Perl Regular Expression来描述变更。还有模板功能可以执行多个相似的变更。因为Snort 规则还可以使用Regular Expressions。它在其他程序领域也很有用,如果对它不熟悉,值得学一下。
1.1版本是在2004年十月发布的,而且增加了两个报告格式,可以更清楚地显示当规则变化(在变更日志中查看–s和–m)时哪里不一样了。1.2版本是在2005年四月发布的,可以允许在oinkmaster.conf中存在多个-u ...[命令行]或则和多个“url = ...”[语句],使下载VRT、社区和Bleeding Snort规则更便利、更迅速。Oinkmaster的档案编写的很好,使其成为学习这种工具的很好的开始。如果你使用Snort,就多花点时间吧——你不会后悔的,我保证。