Snort的配置与使用ppt课件

.,第六章Snort的配置与使用,入侵检测技术,.,本章内容,Snort的安装与配置Snort的总体结构分析Snort的使用Snort的规则使用Snort构建入侵检测系统实例,.,3,6.1SNORT的安装与配置,.,一、Snort简介,snort是一个用C语言编写的开放源代码的软件Snort是一个跨平台的，轻量级的网络入侵软件，基于libpcap的数据包嗅探器和日志记录工具Snort采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中发现入侵和探测行为。MartinRoeschSnortTeamSnort,.,1.Snort的组成数据包解码器检测引擎日志和报警子系统,.,2.Snort的工作模式（3种）嗅探器数据包记录器网络入侵检测系统,.,4.Snort的工作模式（3种）嗅探器嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。./snortv./snortvd./snortvde数据包记录器数据包记录器模式把数据包记录到硬盘上。./snortdevl./log,.,网络入侵检测系统网络入侵检测模式是最复杂的，而且是可配置的。用户可以让Snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。./snotdevl./logcsnort.conf,.,二、Snort软件的下载,下载snort入侵检测的核心部分下载winpcap或者libpcaphttp:/winpcap.polito.it/网络数据包截取驱动程序，用于从网卡中抓取数据包,.,辅助软件：Acid（AnalysisConsoleforIntrusionDatabases）基于PHP的入侵检测数据库分析控制台ADOdb(ADOdbDatabaseAbstractionLibrary)Adodb库为PHP提供了统一的数据库连接函数ApacheWindows版本的ApacheWeb服务器JpgraphPHP所用图形库MysqlWindows版本的Mysql数据库，用于存储snrot的日志，报警，权限等信息PHPWindows中PHP脚本的支持环境,.,三、Windows环境下Snort的安装,ACID+snort的入侵检测系统1.搭建apache+PHP的运行环境2.安装snort和Winpcap3.安装MySQL4.安装ADOdb5.安装Jpgraph6.安装和配置ACID7.配置和启动snort,.,几点说明,1.在snort中有一脚本create_mysql，用于建立所有必要的表。C:mysqlbinmysqlurootp（Mysql）createdatabasesnort;（Mysql）quit（c:mysqlbin）MysqlDsnorturootp）grantusageon*.*toacidloacalhostidentifiedby“acidPwd”;(mysql）grantselect,insert,update,delete,create,alteronsnort.*toacidlocalhost;,.,需要了解的Mysql命令：显示数据库列表:showdatabases;显示库中的数据表：usemysql;showtables;建库与删库：createdatabase库名;dropdatabase库名;,.,.,.,激活和配置ACID解压缩acid至apache安装目录的htdocsacid目录下修改htdocsacid下的acid_conf.php文件DBlib_path=C:phpadodb;$DBtype=”mysql”;$alert_dbname=snort;$alert_host=localhost;$alert_port=3306;$alert_user=acid;$alert_password=acidpwd;,.,/*ArchiveDBconnectionparameters*/$archive_dbname=snort_archive;$archive_host=localhost;$archive_port=3306;$archive_user=acid;$archive_password=acidpwd;$ChartLib_path=”C:phpjpgraphsrc”;,.,:50080/acid/acid_db_setup.php,.,配置并启动snort打开C:snortetcsnort.conf文件，将文件中的下列语句：includeclassification.configincludereference.config修改为绝对路径：includeC:snortetcclassfication.configincludeC:snortetcreference.config在该文件的最后加入下面语句：目的：将日志记录到数据库中outputdatabase:alert,mysql,host=localhostuser=snortpassword=snortpwddbname=snortencoding=hexdetail=full,.,进入命令行方式，输入下面的命令：C:snortbinsnortc“C:snortetcsnort.conf”l“C:snortlog”deXX参数：用于在数据链接层记录rawpacket数据；d参数：记录应用层的数据；e参数：显示记录第二层报文头数据；c参数：用以指定snort的配置文件的路径；i参数：指定监视的网络适配器的编号。上面的命令将启动snort，如果snort正常运行，系统最后将显示如下图所示,.,.,.,.,四、Snort的配置,配置snort.conf文件设置网络相关变量；配置预处理器；配置输出插件；定制snort规则集。,.,设置网络相关变量Snort.conf中的主要环境变量有：varHOME_NETany本地网络varEXTERNAL_NETany外地网络varDNS_SERVER$HOME_NETvarHTTP_SERVER$HOME_NETvarSQL_SERVER$HOME_NETvarTELNET_SERVER$HOME_NETvarSNMP_SERVER$HOME_NET,.,varHTTP_PORTS80varORACLE_PORTS1521varRULE_PATH./rules本地规则路径,.,配置预处理器是在基于规则的模式匹配之前运行的模块，通常为规则匹配进行一些前期的处理。如：IP分片重组（frag2）、TCP流重组(stream4)、各种应用层解码等。根据需要配置，通常采用默认值.,.,配置输出插件主要在报文匹配某条规则需要输出时，调用相应的输出插件。根据snort.conf说明进行相应配置。例：outputdatabase:log,mysql,user=westfoxdbname=detectorhost=localhostpasswordpassword=t123port=1234outputdatabase:alert,mysql,host=localhostuser=snortpassword=snorttestdbname=snortencoding=hexdetail=full,.,定制snort规则集#includeinclude$RULE_PATH/local.rules,.,6.2Snort的总体结构分析,Snort的模块结构插件机制Snort的总体流程入侵检测流程,.,Snort分析,32,一、Snort总体结构分析,Snort的模块组成及其相互关系,.,二、Snort的插件机制,优点增强可扩展性简化编码工作使代码功能内聚，模块行强，程序相对易读插件模块包括预处理插件、处理插件和输出插件3种，它们通常对应规则中的一个或几个关键字，规则匹配中遇到这些关键字时就会激活相应的插件，以完成相应的功能。,.,1预处理插件它们的源文件名都是以spp_开头的，在规则匹配（误用检测）之前运行，完成的功能主要分为以下几类。模拟TCP/IP堆栈功能的插件：如IP碎片重组、TCP流重组插件。各种解码插件：如HTTP解码插件、Unicode解码插件、RPC解码插件、Telnet协商插件等。规则匹配无法进行攻击检测时所用的检测插件：如端口扫描插件、Spade异常入侵检测插件、Bo检测插件、Arp欺骗检测插件等。,.,2处理插件它们的源文件名都以sp_开头，在规则匹配阶段的ParseRuleOptions中被调用，辅助完成基于规则的匹配检测过程。每个规则处理函数通常对应规则选项中的一个关键字，实现对这个关键字的解释或辅助解释。这些插件的主要功能如下。协议各字段的检查，如TCPFlag，IcmpType，IcmpCode，Ttl，IpId，TcpAck，TcpSeq，Dsize，IpOption，Rpc，IcmpId，IcmpSeq，IpTos，FragBits，TcpWin，IpProto和IpSame等。一些辅助功能，如Respond，Priority，PatternMatch，Session，React，Reference等，这些插件分别完成响应（关闭连接）、严重级别、模式匹配（内容）、会话记录、攻击响应（高级的响应机制）、攻击参考信息等功能。,.,3输出插件它们的源文件名都以spo_开头，这些插件分为日志和警告两种类型放入两个列表中，在规则匹配过程中和匹配结束之后调用，以便记录日志和警告。,.,以一个HTTP解码预处理器插件为例来解释插件的内部结构：每个插件都有一个安装函数，名称为SetupXXX()，如Spp_http_decode.c：SetupHttpDecode()。在解释规则文件时，如果检测到相应的关键字，系统就会使用规则文件中这些关键字后的字符串作为参数来调用相应的初始化函数。在检测过程中，一旦规则匹配成功，就会触发处理函数的执行，预处理器就会在预处理过程中对数据报调用相应处理函数进行处理。,.,三、Snort的总体流程,.,四、入侵检测流程,规则解析流程规则匹配流程,.,入侵检测流程规则解析流程,Snort规则内存表示逻辑图,.,入侵检测流程规则匹配流程,Snort规则匹配检测流程,.,.,.,.,.,6.3Snort的使用,Snort的命令行高性能的配置方式,.,一、Snort的命令行,Snort命令参数及作用c:snortoptions主要snort参数介绍-A设置的模式是full、fast，还是none；full模式是记录标准的alert模式到alert文件中；fast模式只写入时间戳、messages、IPs、ports到文件中，none模式关闭报警。-a显示ARP包。,.,-b把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为二进制形式，这个选项对于fast记录模式比较好，因为它不需要花费包的信息转化为文本的时间。Snort在100Mbps网络中使用“b”比较好。-c使用配置文件,这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。-C在信息包信息使用ASCII码来显示，而不是hexdump。,.,-d解码应用层-D把Snort以守护进程的方法来运行，默认情况下alert记录发送到/var/log/snort.alert文件中去。-e显示第二层（数据链路层）的包头信息。-F从文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器。,.,-h设置网络地址，如一个C类IP地址，使用这个选项，可限制数据进出的方向。-i使用网络接口参数。-l:LOG信息包记录到目录中去。-M:发送WinPopup信息到包含文件中存在的工作站列表中去，这选项需要Samba的支持，wkstn文件很简单，每一行只要添加包含在SMB中的主机名即可（注意不需要两个斜杠）。,.,-n指定在处理个数据包后退出。-N：关闭Log记录，但ALERT功能仍旧正常。-o改变所采用的记录文件，如正常情况下采用AlertPassLog，而采用此选项是这样的顺序：PassAlertLog，其中Pass是那些允许通过的规则而不记录和报警，ALERT是不允许通过的规则，LOG指LOG记录。-p关闭杂乱模式嗅探方式，一般用来更安全的调试网络。,.,-r读取tcpdump方式产生的文件,这个方法用来得到一个Shadow(ShadowIDS产生)文件，因为这些文件不能用一般的EDIT来编辑查看。-sLOG:报警的记录到syslog中去，在LINUX机器上，这些警告信息会出现在/var/log/secure,在其它平台上将出现在/var/log/message中。-S设置变量值，这可以用来在命令行定义Snortrules文件中的变量，如要在Snortrules文件中定义变量HOME_NET,可以在命令行中给它预定义值。,.,-v使用为verbose模式，把信息包打印在console中，这个选项使用后会使速度很慢，这样结果在记录多的是时候会出现丢包现象。-V显示SNORT版本并退出。-？显示帮助信息。-WListsavailableinterfaces.(Win32only)以上这些参数大多可组合进行使用。,.,Snort入侵检测实例1.实现快速嗅探在命令行输出检测到的IP/TCP/UDP/ICMP数据。如果想要把数据的包头信息在命令行显示，可以使用：c:snort-v-i2命令行中会打印出如下的数据：=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+06/09-15:01:13.84653117:61440_49:61440UDPTTL:64TOS:0 x0ID:50650IpLen:20DgmLen:64Len:36=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+,.,如果打开-d开关，将显示HEX和ASCII形式的应用数据（OSI模型的第七层），命令如下：c:snort-vd-i2命令行中会打印出如下的数据：=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+05/2516:25:22.22856403:137_55:137UDPTTL:128TOS:0 x0ID:34222IpLen:20DgmLen:78Len:50B4520110000100000000000020444645.R.DFE4445434447454344414448444A444944DECDGECDADHDJDID43454644444445444245424141000020CEFDDDEDBEBAA.0001.=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+,.,2.实现记录数据包先建立一个LOG目录，再使用下面的命令：c:snortbin-snort-de-lc:snortlog-i2注意这里少了-v选项，这意味着Snort将不在屏幕上显示输出信息。命令的前部分使Snort进入探测模式，它在c:snortlog目录下为每个用户发起的连接创建文件。每个文件中包含的是以ASCII格式显示的流量信息。同时，在该目录下，会自动生成日志文件,.,前面的配置创建了基于文本的文件，其中包含流量的解码。利用下面的命令：c:snortbin-snort-lc:snortlog-b-i2这时命令行会进入数据包记录界面，同时在c:snortlog目录下会生成一个名如snort.log.1244770040的日志文件，所有的网络流量将以二进制的形式记录下来，并且以PCAP的格式写入到该日志文件中。,.,这样做的优点：(1)允许利用开放源码或者商业的探测器程序进行浏览，例如，Wireshark等。(2)允许重放Snort或者探测程序。(3)速度快，基本上Snort可以得到所有的流量并写入到文件。,.,现在，如果想重新读入刚刚创建的PCAP格式的文件，并且让Snort像前面那个例子那样解码，该怎么办呢？下面的命令可以把文件重新读入到Snort，用于解码：c:snortbin_snort-de-rsnort.log.1244532070另外也可以应用BPF过滤程序对日志文件进行过滤：c:snortbin-snort-de-Fc:filter-rsnort.log.1244532070,.,二、高性能的配置方式,在一个高数据流量（如大于100Mb/s）的网络环境下运行snort，就需考虑如何配置snort才能使它高效率地运行，这就要求使用更快的输出功能，产生更少的警告，可使用：-b,-Afast,-s等选项。,.,6.4Snort的规则,规则结构规则的语法攻击手段对应规则举例规则的设计,.,一、规则的结构,snort的每条规则都可以分成逻辑上的两个部分：规则头规则选项规则头包括：规则行为(rulesaction)、协议(protocol)、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码,signature)，使用这些特征码来决定是否采取规则规定的行动。,.,alerttcpanyany-/24111(content:”|000186a5|”;msg:”mountdaccess”;),规则头,规则选项,规则操作协议源IP源端口方向操作符目的IP目的端口,规则含义：任何使用TCP协议连接网络/24中任何主机的111端口的数据包中，如果出现了二进制数据000186a5，便发出警告信息mountdaccess,.,1.规则头（1）规则的动作alert：使用选定的报警方法产生报警信息，并且记录数据包log：记录数据包pass：忽略数据包activate：报警并激活另一条dynamic规则dynamic：保持空闲状态，直到被activete规则激活，作为一条log规则自定义动作（ruletype）,.,（2）协议每条规则的第二项就是协议项。当前，snort能够分析的协议是：IP、TCP、UDP和ICMP,.,（3）IP地址关键词any可以用来定义任意的IP地址地址只能使用数字/CIDR的形式/24表示一个C类网络；/16表示一个B类网络；而/32表示一台特定的主机地址/24表示从到55在规则中，可以使用使用否定操作符（！）对IP地址进行操作alerttcp!/24any-/24111IP地址表示：所有IP源地址不是内部网络的地址，而目的地址是内部网络地址,.,IP地址列表的格式IP地址1/CIDR,IP地址/CIDR,.每个IP地址之间不能有空格alerttcp!/24,.0/24any-/24,/24111（4）端口号any、静态端口号、端口范围（:），以及使用非操作定义例：1:1023:1024,.,(5)方向操作符-(6)activate和dynamic规则activates:activated_by:,.,2.规则选项规则选项构成了snort入侵检测引擎的核心在每条snort规则中，选项之间使用分号进行分割。规则选项关键词和其参数之间使用冒号分割,.,Snort规则选项,msg：在报警和日志中打印的消息msg:;例：alerttcp$EXTERNALany-$INTERNAL79(msg:”Finger”)logto：把日志记录到一个用户指定的文件，而不是输出到标准的输出文件使用这个选项，对处理来自nmap扫描、HTTPCGI扫描的数据非常方便。注意如果使用二进制日志模式，这个选项会失效。logto:;,.,ttl：测试IP包头的TTL域的值ttl:;支持和=操作符tos：测试IP包头的TOS域的值tos:;例;alerttcp$EXTERNALany-$CISCOany(msg:”CiscoTOSExample”;tos:!”0”;),.,id：测试IP分组标志符(fragmentID)域是否是一个特定的值id:;ipoption：查看IP选项（IPoption)域rr:路由记录，eof:Endoflist，nop:无操作，ts:时间戳，sec:IP安全选项，lsrr:宽松源路由，ssrr:严格源路由，satid:流标识符ipopts:;,.,fragbits：测试IP包头的分片位R：保留位D：DF位M：MF位+ALL标志，指定的位加上任何其它的位为真*ANY标志，指定的任何位为真!NOT标志，指定的位不为真-不包含指定位例：alerttcp!$HOME_NETany-$HOME_NETany(fragbits:R+;msg:ReserverdIPbitset!;),.,dsize：测试数据包数据段的大小这个规则选项用来测试数据包负载的大小如果知道某个服务有一个特定大小的缓冲区，就能够设置这个选项来捕获制造缓冲区溢出的企图dsize:|,.,flags：测试TCP标志(flag)是否是某个值F:FIN(TCP标志字节最左边一位)S:SYNR:RSTP:PSHA:ACKU:URG2:保留位21:保留位1例：alertanyany-/24any(flags:SF;msg:PossibleSYNFINscan;),.,seq：测试TCP包的序列号是否是某个值seq:ack：测试TCP包的确认域是否为某个值只有一个实际的用途：检测NMAPTCPping扫描。扫描程序nmap进行TCPping扫描时，把TCP包头的确认号(4个字节)设置为0，然后向目标主机发出TCPACK包，确定目标主机是否正在运行alertanyany-/24any(flags:A;ack:0;msg:nmapTCPping;),.,itype：测试ICMP数据包的类型(type)域拒绝服务和淹没攻击的数据包有时使用无效的ICMP类型，可以使用这个规则选项对无效的ICMP类型进行检测，也就是说，这个规则选项中的值可以不是正常的数值itype:icode：测试ICMP数据包的编码(code)域icode规则选项和itype非常相似，也是使用数字进行设置icode:,.,icmp_id：测试ICMP回送包的标志符(ICMPECHOID)是否为某个值icmp_id:icmp_seq:检测ICMP回送包的序列号的值因为一些隐秘通道程序在通讯时使用静态的ICMP域。icmp_seq:,.,content：在数据包的数据段中搜索模式进行比较的数据中可以包含二进制数据:|000186a5|/bin/sh;content:;alerttcpanyany-/24143(content:“|90c8c0ffffff|/bin/sh”；msg:IMAPbufferoverflow);“|”。管道符号,.,offset：调整content选项，设置开始搜索的偏移量depth：调整content选项，设置搜索最大深度alerttcpanyany-/2480(content:cgi-bin/phf;offset:3;depth:22;msg:CGI-PHFaccess;),.,nocase：大小写不敏感匹配内容字符串nocase;alerttcpanyany-/2421(content:USERroot;nocase;msg:FTProotloginattempt;),.,session：对一个指定的会话记录其应用层信息观察用户在telnet、rlogin、ftp，甚至WEB会话过程中输入了什么，就可以使用这个规则选项session规则选项有两个参数关键词:printable、all。logtcpanyany/2423(session:printable;),.,content-list：在数据包的数据段中搜索模式清单使用content-list关键词可以指定更多的正文字符串，突破了content规则选项只能指定单一字符串的限制。每个要搜索的字符串占一行。这个规则选项是使用react关键词的基础content-list:;#adultsitespornadultshardcore#.,.,react：激活反应措施(阻塞WEB站点)基本的反应就是阻塞用户要访问的站点，例如色情站点block：关闭连接并发出注意信息warn：发出警告信息msg：定义要包含在警告信息中的文本proxy:：使用代理服务器端口发送警告信息可选参数使用逗号分开，react关键词应该放在所有选项的最后react:alerttcpanyany/2480(content-list:“adults”;msg:“Notforchildren!”;react:block，msg;),.,rpc：观察RPC服务对特定应用程序的调用规则选项rpc可以使snort观察RPC请求，并且自动对应用程序、过程、程序版本进行解码。只有这三个变量都匹配时，才算成功。统配符*可以用来代替过程和版本号alerttcpanyany-/24111(rpc:100000,*,3;msg:RPCgetport(TCP);),.,resp：激活反应措施(断开连接等)对于匹配某个规则的数据包，可以通过resp关键词使snort的灵活反应机制生效。使用FlexResp插件，snort能够主动断开恶意连接rst_snd：向发送方套接字发送TCP-RST数据包rst_rcv：向接受方套接字发送TCP-RST数据包rst_all：在两个方向上发送TCP-TST数据包icmp_net：向发送方发送ICMP_NET_UNREACH数据包icmp_host：向发送方发送ICMP_HOST_UNREACH数据包icmp_port：向发送方发送ICMP_PORT_UNREACH数据包icmp_all：向发送方发送以上各种类型的ICMP数据包多个参数可以结合使用，各个参数之间使用逗号隔开。,.,alerttcpanyany-/241524(flags:S;resp:rst_all;msg:Rootshellbackdoorattempt;)alertudpanyany-.0/31(resp:icmp_port,icmp_host;msg:HackersParadiseaccessattempt;),.,uricontent：在特定的URL字段域内搜索特定模式；flow：指定网络TCP数据流的方向，例如从服务器发出或是客户端发出；flow：to_serverto_client.,.,其他Snort规则选项,reference:外部参考idsid:snort的规则idrev:规则的修正号classtype:规则的分类号priority:规则的优先级tag:高级记录动作ip_proto:ip头的协议值sameip:源地址和目标地址相同stateless:无状态连接regex:通配符模式匹配,.,二、规则的语法,规则分类存放在规则文件中规则文件是文本文件“类名.rules”,在snort.conf文件类激活。规则要在一行内写完注释行使用#开头,.,规则中使用变量名的定义变量的定义格式：var例：varMY_NET/24alerttcpanyany-$MY_NETany(flags:S;msg:”SYNPacket”),.,说明：1)$name或$(name)：用name的内容替换变量name2)$(name:-default)：如果name没有定义就使用default的内容替换变量4)$(name:?message)：使用变量name的内容替换变量，如果不成功就打印错误信息message并退出。例：varMY_NET$(MY_NET:-/24)logtcpanyany-$(MY_NET:?MY_NETisundefined!)23,.,include例：include$RULE_PATH/local.rules#include$RULE_PATH/ftp.rules,.,三、攻击手段对应规则举例,实例1：IIS发布之初，附带的例子网页存在漏洞特点：保存在Web根目录下的/site/iisamples目录下。alerttcp$EXTERNAL_NETany-$HTTP_SERVER80(msg:”WEB_IISsite/iisamplesaccess”;flag:A+;uricontent:”/site/iisamples”;nocase;classtype:attemped-recon;sid:1046;rev:1;),.,实例2：红色代码的一个变种CodeRed。特点利用MSIndexServer（.ida/.idq）ISAPI扩展远程溢出漏洞（MS01-033）alerttcp$EXTERNALany-$INTERNAL80(msg:”IDS552/web-iis_IISISAPIOverflowids”;dsize:239;flags:A+;uricontent:”.ida?”;classtype:system-or-info-attempt;reference:arachnids,552;),.,规则的更新,经常访问snort的官方网站,更新它所发布的规则。加入snort的邮件列表,.,四、规则的设计,根据网络的安全策略定制自己的规则对付新的攻击自己动手写好的规则加速含有内容选项的规则,.,修改已存在的规则假设某机构中只有一台IIS服务器，管理员想修改相关规则使它仅仅应用在这台服务器上，而不是用在每台web服务器上，一开始你可能想修改snort-sigs邮件列表的后缀为.htrchunked的编码规则，这条规则如下：,.,alerttcp$EXTERNAL_NETany-$HTTP_SERVER$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;uricontent:”.htr”;classtype:web-application-attack;rev:1)alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;uricontent:”.htr”;classtype:web-application-attack;rev:2),.,alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;flow:to_server,establish;uricontent:”.htr”;classtype:web-application-attack;rev:3),.,POST/EEYE.htrHTTP/1.1Host:Transfer-Encoding:chunked20XXXXXXXXXXXXXXXXXXXXXXXXEEYE20020EnterEnter,.,alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;flow:to_server,establish;uricontent:”.htr”;content:”Transfer-Encoding:”;content:”chunked”;classtype:web-application-attack;rev:4),.,alerttcp$EXTERNAL_NETany-$HTTP_PORTS(msg:”WEB_IIS.hrtchunkedencoding”;flow:to_server,establish;uricontent:”.htr”;content:”Transfer-Encoding:”;content:”chunkd”;nocase;classtype:web-application-attack;rev:5),.,一些规则使用的例子,（1）记录所有登录到一个特定主机的数据包：logtcpanyany-/3223（2）在第一条的基础上记录了双向的流量：logtcpanyany/3223（3）这一条规则记录了所有到达你的本地主机的icmp数据包：logicmpanyany-/24any,.,（4）这条规则允许双向的从你的机子到其他站点的http包：passtcpany80/24any（5）这条告警规则显示了本地主机对其他主机的1