# Snort 學習筆記 ###### tags: `網路安全` `Snort` `安全強化` `54`  <font color="#FFF">吳秉宸好強</font> [Snort官方網站](https://www.snort.org/) [可以線上練習寫rules的網站](https://asecuritysite.com/forensics/snort?fname=wc.pcap&rulesname=wc.rules&fbclid=IwAR21i_2Z5Yo7GM03kuGHp--R9TsWZuSI-ow3kYo27Oc-R_8FAHiUSTo4bm4) ## Snort 模式 ## Rules格式  ### **Rule Header** --- #### **Action (╯°□°）╯︵ ┻━┻**  * Alert : 紀錄封包並發出警報。 [參考](https://chowdera.com/2021/12/20211203071633917y.html) * Log : 單純紀錄封包。 * Pass : 直接放封包通過，不做任何動作。 * Drop : 將封包擋下，並記錄封包。(配合inline-mode) * Reject : 沒用過捏 * Sdrop : 沒用過捏 #### **Protocol (╯°□°）╯︵ ┻━┻** 官方表示，目前只支援四種(╯°□°）╯︵ ┻━┻  ### Source Address、Source Port...剩下的懶的寫，就字面上意思。 --- ### **Rule Option** --- ## 好大的坑 ### IDS mode(Inline-mode) 預設不會吃掉Outbound(輸出)的封包 ---  IDS mode(NIDS)他只會警告輸入的封包，所以不能拿它來做輸出封包的封包過濾。 需要用IPS(inline)才可以過濾對外封包。 <font color="#FFF">賴韋宏好虐</font>