Poliasignatury < QoSProjekt

Poliasignatury < QoSProjekt < TWiki

r1 - 29 May 2008 - 23:00:43 - PeterKolcunYou are here: TWiki >

QoSProjekt Web > RiadBezpecnosti2 > Poliasignatury

Polia signatúry Snortu a ekvivalenty od IPFix

Pravidlo snortu ma dve časti hlavičku a parametre a ma nasledovny tvar:

+-------------------------- hlavička -------------------------+ +---------------------- parametre ------------------------+
| | | |
akcia protokol zdrojovaIP zdrojovyPort -> cielovaIP cielovyPort (nazovParametra: "hodnota"; nazovParametra: "hodnota"; ...)

Podrobnosti ako písať hlavičky nájdete zatiaľ v dokumentácii snortu.

Parametre a ich ekvivalenty

Parametre prečítané z hlavičky paketu

parameter Snortu parameter IPFix význam

fragoffset fragmentOffset Je to poradové číslo paketu ak sa posiela blok dát väčší ako je jeden paket, tak sa rozdelí do fragmentov a pošle po kúskoch.

ttl ipTTL Je to číselná hodnota definujúc životnosť paketu po ceste k cieľu - Time To Live. Táto hodnota je znižovaná aktívnymi zariadeniami (vštky zariadeni pracujúce na 3 a vyššej vrstve OSI modelu), a ak dosiahne 0 paket je zničený.

tos ipClassOfService Je to hhodnota poľa Type Of Service z hlavičky IP paketu. Obsahuje 8 bitov

id fragmentIdentification Je to pole Identification z hlavičky IP paketu má dĺžku 16 bitov

ipopts ipv4Options Kontroluju sa nastavené vlastnosti Options paketu

fragbits fragmentFlags Predstavuje pole Flags "vlajky", ktoré určuje či sú dáta posielané v pakete fragmentované a či je to posledný fragment.

dsize ipPayloadLength Dĺžka dátovej časti paketu

flags tcpControlBits Je to pole bitov ktoré zobrazuje TCP flags SYN,ACK...

flow ??? Identifikacia sreamu pomocou vlastnosti

flowbits ??? Je to kľúčové slovo spojené so sledovaním konverzácie od ` flow ` procesora. Dovoľuje kontrolovať stav prostredníctvom transportného protokolu.

seq tcpSequenceNumber Vlastnosť kontrolujúca TCP sequence číslo.

ack tcpAcknowledgementNumber Špecifická hodnota TCP Acknowledgement v hlavičke TCP protokolu.

window tcpWindowSize Hodnota atribútu Window v TCP hlavičke.

itipe icmpTypeIPv4 Hodnota atribútu Type v ICMP protokole.

icode icmpCodeIPv4 Kontroluje hodnota/y atribútu Code v ICMP protokole.

icmp_id icmpCodeIPv4 Kontroluje konkrétnu hodnotu atribútu Code v ICMP protokole.

icmp_seq icmpCodeIPv4 Kontroluje špecifickú postupnosť hodnôt atribútov Code v ICMP protokole.

rpc ??? Kľúčove slovo, ktoré slúži na kontrolu čísla aplikácie,verzie a procedúry v sun rpc volaní.

ip_proto protocolIdentifier Umožňuje nastaviť kontrolu špecifických protokolov.

sameip '' porovnanie políčok v hlavičke '' Kontroluje či je zdrojová a cieľová adresa rovnaká.

parameter Snortu	parameter IPFix	význam

fragoffset	fragmentOffset	Je to poradové číslo paketu ak sa posiela blok dát väčší ako je jeden paket, tak sa rozdelí do fragmentov a pošle po kúskoch.
ttl	ipTTL	Je to číselná hodnota definujúc životnosť paketu po ceste k cieľu - Time To Live. Táto hodnota je znižovaná aktívnymi zariadeniami (vštky zariadeni pracujúce na 3 a vyššej vrstve OSI modelu), a ak dosiahne 0 paket je zničený.
tos	ipClassOfService	Je to hhodnota poľa Type Of Service z hlavičky IP paketu. Obsahuje 8 bitov
id	fragmentIdentification	Je to pole Identification z hlavičky IP paketu má dĺžku 16 bitov
ipopts	ipv4Options	Kontroluju sa nastavené vlastnosti Options paketu
fragbits	fragmentFlags	Predstavuje pole Flags "vlajky", ktoré určuje či sú dáta posielané v pakete fragmentované a či je to posledný fragment.
dsize	ipPayloadLength	Dĺžka dátovej časti paketu
flags	tcpControlBits	Je to pole bitov ktoré zobrazuje TCP flags SYN,ACK...
flow	???	Identifikacia sreamu pomocou vlastnosti
flowbits	???	Je to kľúčové slovo spojené so sledovaním konverzácie od ` flow ` procesora. Dovoľuje kontrolovať stav prostredníctvom transportného protokolu.
seq	tcpSequenceNumber	Vlastnosť kontrolujúca TCP sequence číslo.
ack	tcpAcknowledgementNumber	Špecifická hodnota TCP Acknowledgement v hlavičke TCP protokolu.
window	tcpWindowSize	Hodnota atribútu Window v TCP hlavičke.
itipe	icmpTypeIPv4	Hodnota atribútu Type v ICMP protokole.
icode	icmpCodeIPv4	Kontroluje hodnota/y atribútu Code v ICMP protokole.
icmp_id	icmpCodeIPv4	Kontroluje konkrétnu hodnotu atribútu Code v ICMP protokole.
icmp_seq	icmpCodeIPv4	Kontroluje špecifickú postupnosť hodnôt atribútov Code v ICMP protokole.
rpc	???	Kľúčove slovo, ktoré slúži na kontrolu čísla aplikácie,verzie a procedúry v sun rpc volaní.
ip_proto	protocolIdentifier	Umožňuje nastaviť kontrolu špecifických protokolov.
sameip	'' porovnanie políčok v hlavičke ''	Kontroluje či je zdrojová a cieľová adresa rovnaká.

-- PeterKolcun - 29 May 2008

QoSProjekt

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback