1
Familiarícese con la forma general de una regla de Snort . Una regla es la siguiente:
acción protocolo address0_IP address0_port dirección address1_ip address1_port ( opciones)
2
Decida qué "acción" se desea que la regla a seguir. El campo de "acción" determina lo que la norma cumple realmente . La acción de "log" , por ejemplo, simplemente registra el evento de red . La acción de "alerta " envía un mensaje de que está determinado por el archivo de configuración de Snort o envía un mensaje a la línea de comandos . Consulte la documentación de Snort para obtener una lista completa de las acciones aceptables .
3
Decidir qué protocolo a la que desea aplicar la regla . El campo " protocolo " se refiere al protocolo de red que está siendo utilizado por el paquete de datos , que puede ser IP, ICMP , TCP o UDP .
4
determinar la dirección de la regla . El campo de " dirección " Snort dice que es la dirección de origen del paquete y que es el destino . Por ejemplo , mediante la colocación de la secuencia de caracteres " - >" en el campo de destino , " address0_IP " es la dirección IP de origen del paquete de datos , mientras que " address1_IP " es el destino del paquete
5
. Escribe una regla de Snort que alerta el programa cada vez que se detecta el tráfico de una dirección específica . Supongamos que este tráfico utiliza el protocolo TCP y proviene de la dirección 192.168.2.99 . Mediante el uso de la palabra " ninguna ", se puede rellenar los campos de puerto y la dirección del destino de los datos. La regla de Snort siguiente, se crea un mensaje cuando se detecta tráfico procedente de esta dirección :
alerta tcp 192.168 . 2.99 ninguna -> any any (msg : " . Tráfico de 192.168 2.99 " ;)