Suricata - Whys0EZ/status GitHub Wiki

1. Suricata Rules » Rules Format

drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc; content:”NICK “; pcre:”/NICK .USA.[0-9]{3,}/i”; reference:url,doc.emergingthreats.net/2008124; classtype:trojan-activity; sid:2008124; rev:2;)

  • Action : drop
  • Header : tcp $HOME_NET any -> $EXTERNAL_NET any
  • Rule option :

1.1 Meta Keyword

  • msg : Đưa ra thông tin cảnh báo khi matching với "sid"
  • sid : chữ kí riêng của mỗi rule, được thể hiện bằng số, có thể tạo sid từ 1000000->1999999 để tránh trùng với sid đã có
  • rev : version của sid
  • classtype : phân loại các quy tắc và cảnh báo (classtype:trojan-activity; ->classification:Web Application Attack; priority:1;)

1.2 Payload Keywords

  • Content : sử dụng mã hex thay thế cho các kí tự từ a-z, kí tự đặc biệt
  • Nocase; không phân biệt hoa thường, đi sau content
  • startwith; khớp nội dụng với các từ bắt dầu trong content
  • endswith; ngược lại của startwithontent
  • depth:3 ; kiểm tra kí tự đầu tiên đến kí tự thứ 3 match với content
  • offset:3 ; kiểm tra byte thứ 4 trở đi trong payload để match với content

1.3 Transformations

  • dotprefix : (dns.query; dotprefix; content:".microsoft.com";endswith; sid:1;)
  • to_md5, to_sha1, to_sha256 : tính hàm băm

alert http any any -> any any (http_request_line; to_md5; content:"|54 A9 7A 8A B0 9C 1B 81 37 25 22 14 51 D3 F9 97|"; sid:1;)

1.4 FLOW

  • flowbits:action,name; 2 phần, phần đầu mô tả hành đông, phần 2 là tên của flowbits

action:set,isset,toggle, unset, isnotset,noalert

  • flow: dùng để match vơí hướng của gói tin từ clien-server hay từ server-client (to_client, to_server,from_client,from_server, established,not_established,only_stream, no_stream, only_frag, no_frag.)

flow:to_client, established flow:to_server, established, only_stream flow:to_server, not_established, no_frag

1.5 HHTP Keyword

  1. Content modifiers : đặt sau content

alert http any any -> any any (content:"index.php"; http_uri; sid:1;) 2. Sticky buffers : được đặt đầu tiên, và các từ khóa theo sau nó áp dụng bộ đệm đó

alert http any any -> any any (http_response_line; content:"403 Forbidden"; sid:1;)

--------------> next suricata 2