content:!"|0a|"; /

    within:100; /

    reference: bugtraq,679; /

    reference:cve,CVE-1999-0789; /

    reference:arachnids,257; /

    classtype: attempted-admin; /

    sid:337; /

    rev:5;)

Правило выглядит более «навороченным», но несмотря на это, его можно по кусочкам изучить, и думаю, что читатель, знающий английский язык, без труда поймёт содержание правила. Добавлены комментарии, чтобы было проще найти информацию об уязвимостях, на которые направлено это правило, чтобы точно знать, когда указанная атака действительно может повлиять на систему. Если для данной атаки ваша система неуязвима, тогда и беспокоиться не стоит.

Внимательный читатель заметит, что вместо адресов в последнем правиле используются переменные $EXTERNAL_NET и $HOME_NET. Введение переменных очень удобно, и оно предусмотрено синтаксисом файла конфигурации, где могут писаться правила. Можно один раз задать постоянные и часто не меняемые параметры сети, и не придётся после менять их во многих местах. Настройка Snort по большей части как раз и сводится к заданию подобных уже выбранных переменных в файле конфигурации. Помимо этого к каждой такой переменной идут комментарии.

Чтобы файл конфигурации не «распухал», используется опция include с именем включаемого файла, аналогичная языку C. Разве что задаётся она без знака решётки в начале строки. Знак решётки, как обычно, используется для комментирования ненужных строк.

Думаю, что не имеет смысла расписывать все возможные опции для правил вроде TOS и TTL, так как это есть в обширной и очень понятной документации и любой читатель при необходимости в написании своих правил может заглянуть на страничку с документацией к Snort в разделе Documentation и выяснить для себя детали синтаксиса.

А пока давайте рассмотрим основные шаги внесения изменений в конфигурационный файл snort.conf, чтобы в конечном итоге наша система обнаружения атак худо-бедно заработала.

Первое, что мы видим в конфигурационном файле, – это инструкция о необходимости выполнения конфигурации в 4 этапа:

1. Установка сетевых переменных;

2. Конфигурирование препроцессоров;