【TechTarget中国原创】Sourcefire已经变更了Snort规则的许可和分布,而且创建了VRT认证规则。VRT认证规则是由Sourcefire漏洞研究小组(Sourcefire Vulnerability Research Team)测试和认证的。
作为终端用户,可以通过以下三种方法中的任意一种获取这些规则:
- 向Soucefire支付订阅费用,在发布规则后就可以尽快获得
- 免费注册,在付费订阅发布的五天后获取规则
- 在Snort引擎发布的时候获取通用的规则(也就是在引擎更新之间没有更新,不推荐使用这种方式)
如果你是“Snort综合者”,还要考虑一些问题。无论如何,都需要阅读Snort.org上的常见疑难问答。
如果你的企业是Snort终端用户,你当然想要免费注册并产生Oinkcode,这样就可以下载VRT规则。一旦你已经阅读并且理解了这些疑难的答案,就可以在Snort.org创建上账户并登录。在账户设置页面,可以找到一个产生Oinkcode按钮,如果使用Oinkmaster,还可以找到配置oinkmaster.conf的说明。但是即使没有使用,你建立的URL(例如http://www.snort.org/pub-bin/oinkmaster.cgi/5a081649c06a277e1022e1284bdc8fabda70e2a4/snortrules-snapshot-2.3.tar.gz)在浏览器中可能被加为书签,或者使用wget或其它的下载工具下载这些规则。
你的VRT认证规则的Oinkcode可能是像这样的:
http://www.snort.org/pub-bin/oinkmaster.cgi//
Snort2.3的例子:
http://www.snort.org/pub-bin/oinkmaster.cgi/5a081649c06a277e1022e1284bdc8fabda70e2a4/snortrules-snapshot-2.3.tar.gz
还可以从Snort.org获得GPL社区规则(免费,不需要注册或者Oinkcode,非常有限)。