---
# System prepended metadata

title: Snort 學習筆記
tags: [Snort, 網路安全, '54', 安全強化]

---

# Snort 學習筆記
###### tags: `網路安全` `Snort` `安全強化` `54`
![](https://i.imgur.com/F8bLOqV.jpg)![](https://i.imgur.com/F8bLOqV.jpg)![](https://i.imgur.com/F8bLOqV.jpg)
<font color="#FFF">吳秉宸好強</font>
[Snort官方網站](https://www.snort.org/)

[可以線上練習寫rules的網站](https://asecuritysite.com/forensics/snort?fname=wc.pcap&rulesname=wc.rules&fbclid=IwAR21i_2Z5Yo7GM03kuGHp--R9TsWZuSI-ow3kYo27Oc-R_8FAHiUSTo4bm4)
## Snort 模式


## Rules格式
![](https://i.imgur.com/GUFn3IZ.jpg)
### **Rule Header**
---
#### **Action (╯°□°）╯︵ ┻━┻**

![](https://i.imgur.com/uQHtjOt.png)
* Alert : 紀錄封包並發出警報。 [參考](https://chowdera.com/2021/12/20211203071633917y.html)
* Log : 單純紀錄封包。
* Pass : 直接放封包通過，不做任何動作。
* Drop : 將封包擋下，並記錄封包。(配合inline-mode)
* Reject : 沒用過捏
* Sdrop : 沒用過捏

#### **Protocol (╯°□°）╯︵ ┻━┻**
官方表示，目前只支援四種(╯°□°）╯︵ ┻━┻
![](https://i.imgur.com/bqjPVWL.png)

### Source Address、Source Port...剩下的懶的寫，就字面上意思。
---
### **Rule Option**

---
## 好大的坑![](https://i.imgur.com/TaknUwm.png)
### IDS mode(Inline-mode) 預設不會吃掉Outbound(輸出)的封包

---
![](https://i.imgur.com/IRTU4IW.png)
IDS mode(NIDS)他只會警告輸入的封包，所以不能拿它來做輸出封包的封包過濾。
需要用IPS(inline)才可以過濾對外封包。
<font color="#FFF">賴韋宏好虐</font>