АНТИВИРУСНЫЕ ПРОГРАММЫ - ЖИЗНЕННАЯ НЕОБХОДИМОСТЬ
Если вы уже зашли на этот сайт, значит вы пришли скачать бесплатно антивирус или узнать о них больше информации. Мы рады вам сообщить что вы попали по адресу. Здесь вы можете скачать антивирусы и выбрать тот который подходит именно вам и вашему компьютеру. Стоит не забывать, что некоторые антивирусные программы на нашем сайте выложены в виде (Shareware), то есть после скачивания у вас будет определённое время (в основном это 30 дней) для ознакомления программы, после чего если вам антивирус понравится вы можете его купить.

В этом примере легко разобраться. Чтобы создать сигнатуру, надо определить номер порта, строку тревожного сообщения и строку для поиска, которая будет сравниваться с содержимым пакетов. В качестве примера мы напишем правило для поиска текста «Xmass tree» или сканирования портов, когда имеет место посылка странных пакетов с выставленными TCP-флагами FIN, PSH и URG. Большая часть ПО для сканирования типа Nmap может выполнить такое сканирование. Для начала можно запустить тестовое сканирование и посмотреть, что будет происходить. Используя такие снифферы пакетов, как Snort или Ethereal, мы поймем, какие флаги выставляются в нашем сканировании. После того как будет собрана необходимая информация, можно приступать к написанию правил. Итак, наш образец с правилами выглядит следующим образом:

alert tcp !$HOME_NET any -> $HOME_NET any (msg:»SCAN FullXMASScan»;flags: FPU;)

Все правила тревоги начинаются со слова «тревога». Три следующие буквы говорят Snort, что нужно искать ТСР-пакеты, приходящие на любой порт извне сети. По другую сторону стрелки находится определение цели назначения трафика. В данном случае указан любой порт нашей домашней сети. Далее мы определяем послание, которое будет написано в файле тревоги. Всегда хочется сделать его максимально информативным, чтобы понимать, что записывается. Два последних элемента нашего правила мы заполняем информацией, собранной сниффером. Мы знаем, что ТСР-флаги имеют значение FPU, его мы и заносим в поле флагов.

Теперь наше правило можно прочитать таким образом: «Поднимайте тревогу, если любой ТСР-пакет, пришедший извне на любой порт в нашей сети, имеет флаг FPU». А теперь попробуйте прочитать правила, приведенные чуть раньше, и вы поймете, что они означают. Первое правило звучит так: «Поднимайте тревогу, если что угодно в сети пытается соединиться с FTP-сервером извне сети и терпит неудачу». Правила для Snort достаточно просто читать и писать. Для знакомства с более сложными правилами и всеми возможностями, которые могут быть в них отражены, обращайтесь на домашнюю Интернет-страницу проекта Snort. Вернуться назад