30
Rule Snort merupakan database yang berisi pola-pola serangan berupa
signature jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin
agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat
terdeteksi. Rule Snort dapat didownload di http://www.snort.org.
Sebagai contoh rule pada Snort sebagai berikut :
alert tcp $EXTERNAL NET
alert tcp $EXTERNAL NET any -> $HTTP SERVERS $HTTP PORTS
(msg:”WEB-IIS unicode directory traversal attempt”;
flow:to server, established; content:¨/..%c0%af../”;
nocase; classtype:web-application-attack; reference:cve,
CVE-2000-0884; sid:981; rev:6;)
Rule di atas terdiri dari 2 bagian: header dan option.
Bagian ”alert tcp $EXTERNAL NET any -¿ $HTTP SERVERS $HTTP
PORTS” adalah header dan selebihnya merupakan option.
Dari rule-rule seperti di ataslah IDS Snort menghukumi apakah sebuah paket
data dianggap sebagai penyusupan/serangan atau bukan, paket data
dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data
tersebut dianggap sebagai penyusupan/serangan dan demikian juga
sebaliknya jika tidak ada dalam rule maka dianggap bukan
penyusupan/serangan.
Beberapa Serangan yang di design oleh snort sebgai berikut :
DOS
Pola rulenya : alert icmp $EXTERNAL_NET any -> $HOME_NET
any (msg:"DOS Microsoft IP Options denial
of service"; sid:10127;
gid:3;rev:2;classtype:attempted-
dos;reference:url,technet.microsoft.com/en-us/security/bulletin/ms06-
032; reference:cve,2006-2379; metadata: engine shared, soid
3|10127;)
Potensial Bad Traffic
Pole rule : alert udp $HOME_NET 67 -> $HOME_NET 68
(msg:"BAD-TRAFFIC invalid dhcp offer denial of service attempt";
sid:13450; gid:3; rev:4; classtype:attempted-dos; reference:cve,2008-
0084;reference:url,technet.microsoft.com/en-s/security/bulletin/ms08-
004; metadata: engine shared, soid 3|13450;)
 |