Snort 101软件

    Snort是一个非常复杂的程序。市面上有专门的指南、书籍和讲座来介绍如何安装和使用它。在本篇文章中我们不再深入介绍这些细节，不过我将告诉你一些帮助你安装然后使用它的一些基本的过程。

    Snort通过被称为规则（rules）的预设恶意通信模式来识别哪些网络上的通信是有害的。这与反病毒软件有些相似，它的相似之处还包括规则要坚持不断更新。Snort只能对它知道的行为进行报警，因此及时的更新软件是系统管理员的一个重要工作。

Snort的规则（rules）

    Rules遵循一个相当简单的语法，如下所示：

    <action> <protocol> <first host> <first port> <direction>  <second host> <second port> (<rule options>;)

    动作（action）部分可以包括报警（alert）：即对于符合条件的网络行为向入侵检测系统产生一个告警；日志记录（log）：将该行为简单的记入日志；或者通过（pass）：即完全忽视这个行为。规则的选项（Rule options ）包括与数据包的内容有关的选项，诸如某个特定大小的字节内容。还包括何时对其进行日志记录的信息。以下是一个规则的示例，它告诉Snort在计算机被Ping的时候产生一个告警：

    alert icmp any any -> 192.168.1.1 any (msg: "Oh snap it's a ping";)

    这个规则侦听针对路由器（在这儿它的IP地址是192.168.1.1）的Ping行为，并产生一个告警，信息是“Oh snap it's a ping”。更复杂的规则还可以包含变量（诸如组成一个家庭网络和外部网络的的一个IP地址范围）。在Snort手册中有介绍如何编写规则的详细说明，有兴趣的朋友可以参看：http://www.snort.org/docs/snort_htmanuals/htmanual_2.4/node14.html。

    除了规则（rules）外，Snort可以配置被称作预处理器（preprocessors）的几个预先定义好的规则，可以被用来扫描通信数据。对于一些常见的可以导致无线设备运行缓慢的端口扫描和ping行为，预处理器（preprocessors）非常有用。