demonalex的狂人日记

作者：JP Vossen TechTarge (2005-04-01 11:25:23)

 
(http://www.fanqiang.com)

原文链接：http://www.yesky.com/searchsecurity/505532403951861760/20041103/1871528.shtml

当你使用Snort的时候，你可能会发现一些默认的规则对你毫无用处，而一些你需要的规则却不能在默认情况下使用，甚至有时候你必须修改一些规则。由于Snort的规则像你的抗病毒工具一样需要定期更新，而每次下载新的规则后手动恢复以前的设置又很不切实际。值得庆幸的是，有一个免费工具Oinkmaster可以帮你做到这一切，它可以运行在UNIX 和Windows系统上。（由于Oinkmaster是用Perl语言编写的，因此在Windows系统上运行时需要ActivePerl文件的支持）。

　　在经过几年的测试运行后，2004年5月发布了第一个正式版本的Oinkmaster。事实上在Snort团体内部，Oinkmaster一直被当作一个规则更新器来使用。Oinkmaster按照配置文件中你所定义的操作运行。首先，你要通过超文本传输协议、安全超文本传输协议、文件传输协议、文件和SCP方法获得最新的规则。然后，你定义哪些文件需要更新而哪些文件需要跳过；哪些签名ID（SIDs）需要修改；哪些签名ID应该使能而哪些签名ID应该禁用。考虑到可以用模板方式进行配置，你也可以根据需要任意引用文件。Oinkmaster自带的配置文件具有完备的归档信息，而且包含有用的默认配置，但是你仍需要仔细浏览以确认你下载的规则快照与你运行的Snort版本相符合。

　　你可以使用Oinkmaster直接升级你的嗅探器，而另一个更好的办法是：首先用一个配置文件去更新一个分段目录，并且报告更新的详细信息。只要你确认并通过了这些修改，就可以使用另一个配置文件去实际升级嗅探器。（详情请见http://oinkmaster.sourceforge.net/faq.shtml上Oinkmaster的常见问答集Q3）。

　　你只需要将签名ID添加到“使能”或者“禁用”列表中，就能轻易地使能或者禁用它。修改一个签名ID也很简单，只要用一个正则表达式描述你的改变就可以。利用模板还可以简化大量的重复修改操作。由于Snort规则也是使用正则表达式描述的，因此，如果你对正则表达式不是很熟悉，还是有必要去了解一些。因为在其它编程领域正则表达式的应用也非常广泛。

　　2004年10月发布的1.1版Oinkmaster（http://oinkmaster.sourceforge.net/changelog.shtml）添加了两个新的报表格式，以便更明确地显示规则的改动之处（通过－s和－m在修改日志文件中查看）。Oinkmaster的归档文件非常完备，是一个学习使用该工具的全面参考资料。如果你使用Snort的话，那么花点时间研究Oinkmaster吧－－我保证你不会后悔。