●classtypeを利用する |
優先順位の指定はルールオプションの「priority」で指定すればよいが、「classtype」を利用するには、「/etc/snort」以下にある「classification.config」を確認し、タイプを選択する。classification.configは下記のように記述されている。
config classification:タイプ名,優先順位 |
となる。
# vi classification.config
config classification: tcp-connection,A TCP connection was detected,4 |
たとえば、web-application-attackであれば下記のように記述すればよい。
※ルールの例 tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"test access";flags:A+; content:"test"; classtype:web-application-attack;) |
※ログ 07/15-07:12:54.716533[**] [1:0:0] test access [**] [Classification: web-application-attack] [Priority: 1] {TCP} 192.168.1.3:49965 -> 192.168.1.4:80 |
4/5 |