Hic, các pro đâu hết roài :(

"alert icmp $EXTERNAL_NET any -> $HOME_NET any"
- Đây là alert khi có 1gói icmp đi từ vùng $EXTERNAL_NET (vùng ngoài) tới $HOME_NET (vùng trong), vùng ngoài và trong bạn xem trong file snort.conf (thường là các lớp IP mạng trong vào mạng ngoài).
Thông điệp alert là:
msg:"DDOS Stacheldraht client check gag"; icmp_id:668; itype:0; content:"gesundheit!"; metadata:policy balanced-ips drop, policy security-ips drop; reference:arachnids,194; reference:cve,2000-0138; classtype:attempted-dos; sid:236; rev:9;
--> thường phải tool phân tích (ví dụ: BASE) để xem.
- Nếu bạn mới tìm hiểu thì nên ứng dụng lại tập rule có sẵn: bản free cũng khá đầy đủ.
- Sau khi ứng dụng thành thạo thì viết rule rất đơn giản.
Một số links tham khảo:
1. www.snort.org
2. Centos: http://www.google.com.vn/search?hl=v...1%BA%BFm&meta=
3. Windows: http://www.google.com.vn/search?hl=v...1%BA%BFm&meta=

Hi,
Một số ý để bạn tham khảo:
- Các options như icmp_id, itype, content, reference,... bạn có thể xem 1 số tài liệu như bạn ở trên đưa để hiểu thêm và khi tạo rule không nhất thiết phải có đủ tất cả các thành phần này trong rule.
- content là phần khá quan trọng, chính xác nó là phần mà snort sẽ dùng để so sánh với packet capture được về mặt content, nếu match với content của packet thì nó sẽ alert/ block, ...
- Để biết được signature có nhiều cách:
+ với những loại tấn công thực sự: bạn có thể lên google và search để tìm signature của nó là gì :)
+ với mục đích test: chẳng hạn capture 1 packet có content: "abc def", và bạn muốn tạo rule để alert với những packet loại này thì signature là gì? vậy thì signature (dấu hiệu) ở đây có thể là : a hay ab hay b hay ..... Khi đó rule bạn tạo rule phần content có thể để content = "a" hay "ab"(có thể dùng ASCII hoặc Hexa) và khi có bất kỳ packet nào có nội dung chứa "a" sẽ bị alert.
Trên đây chỉ là 1 ví dụ, signature có thể là content, protocol, các fields của packet, ...
Hi vọng các giải thích trên có thể giúp bạn hiểu hơn để tiếp tục ngâm cứu :)