嗅探器有许多配置变量和选项,其中最主要的两个是$HOME_NET和$EXTERNAL_NET。
$HOME_NET是定义网络或你想要保护的网络的变量,$EXTERNAL_NET是定义你所连接的外部的不可信的网络的变量。这些变量几乎用于所有的规则,为数据包的源和目的指定标准。
两个变量的默认值都是“任何”,含义与字面意思相似。设置$HOME_NET变量几乎不需要动脑子。把它设置为你要保护的一个或多个网络,正如snort.conf配置文件所示。
$EXTERNAL_NET有一点复杂,它的配置可分为两类。第一类是设置为默认的“任何”,这适用于大多数情况。第二类是设置为!$HOME_NET,意思是所有不包括在$HOME_NET之中的网络,因为这种设置减少了错判,可以多少提高一点嗅探器的效率。但是这样配置可能会漏掉内部到内部的攻击(例如$HOME_NET到$HOME_NET)。根据你所知道的调查,60%到80%的攻击来自内部,所以我建议把$EXTERNAL_NET设置为“任何”。此外,如果$HOME_NET设置为“任何”,一定不能把$EXTERNAL_NET设置为!$HOME_NET,以为这等效于将$EXTERNAL_NET设置为“无”。
有许多其他变量定义DNS、SMTP、HTTP、SQL、Telnet、SNMP和AIM服务器、HTTP、SHELLCODE以及Oracle端口。所有服务器变量的默认值都是$HOME_NET,这是要将$HOME_NET设置正确的另一个原因。这会工作得很好,但是你会发现如果更细致地设置这些变量,可以减少错判。你应该审查端口变量,以免使用了非标准端口,但是你也可以置之不理。
