snort入侵检测

SnortIDSSnort简介Snort是美国Sourcefire公司开发的IDS（IntrusionDetectionSystem）软件。Snort是一个基于Libpcap的轻量级入侵检测系统,所谓轻量级有两层含义:首先它能够方便地安装和配置在网络的任何一个节点上,而且不会对网络运行产生太大的影响;其次是它应该具有跨平台操作的能力,并且管理员能够用它在短时间内通过修改配置进行实时的安全响应。Snort简介snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。Snort简介-嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。-数据包记录器如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包-网络入侵检测系统(NIDS)snort最重要的用途还是作为网络入侵检测系统(NIDS)Snort架构Snort架构Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort的功能。Snort系统由四个基本模块组成:数据包嗅探器、预处理器、检测引擎和报警输出模块。所有这些子模块都建立在数据包截获库函数接口Libpcap的基础上。Snort规则举例：alerttcpanyany-anyany(msg:”thisistest”;sid:1000001)最简单的规则：对网络中的每一条TCP包输出一条警告，警告信息为“thisisatest”.sid表示规则的编号。Snort规则Snort规则被分成两个逻辑部分：规则头和规则选项。规则头包含规则的动作，协议，源和目标ip地址与网络掩码，以及源和目标端口信息；规则选项部分包含报警消息内容和要检查的包的具体部分。Snort规则头规则头由规则动作、协议、IP地址、端口号、方向操作符组成。动作：1.Alert-使用选择的报警方法生成一个警报，然后记录（log）这个包。2.Log-记录这个包。3.Pass-丢弃（忽略）这个包。Snort规则头规则头由规则动作、协议、IP地址、端口号、方向操作符组成。协议：Snort当前分析可疑包的协议有四种：tcp、udp、icmp和ip。Snort规则头规则头由规则动作、协议、IP地址、端口号、方向操作符组成。IP地址和端口号：目的IP和端口、源IP和端口Snort规则头规则头由规则动作、协议、IP地址、端口号、方向操作符组成。方向操作符-表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被认为是流来自的源主机，方向操作符右边的ip地址和端口信息是目标主机，还有一个双向操作符。它告诉snort把地址/端口号对既作为源，又作为目标来考虑。Snort规则选项规则选项部分中冒号前的单词称为选项关键字（optionkeywords）所有的snort规则选项用分号；隔开。规则选项关键字和它们的参数用冒号：分开。按照这种写法，snort中有42个规则选项关键字。Snort规则选项选项关键字举例：Msg-在报警和包日志中打印一个消息。sid-snort规则id。dsize-检查包的净荷尺寸的值。rev-规则版本号。classtype-规则类别标识。priority-规则优先级标识号。Snort规则选项当多个关键字放在一起时，可以认为它们组成了一个逻辑与（AND）语句。同时，snort规则库文件中的不同规则可以认为组成了一个大的逻辑或（OR）语句。Snort规则Snort对安全威胁的分类Snort对安全威胁的分类Snort输出到数据库Event：列举所有事件Signature：告警信息Snort测试alerticmp$EXTERNAL_NETany-$HOME_NETany(msg:ICMPLargeICMPPacket;dsize:800;reference:arachnids,246;classtype:bad-unknown;sid:499;rev:4;)用于检测大的ping包，长度大于800的包即被认为大包。以入侵检测工作模式开启snort后，用超过800的大包去ping靶机即可。Snort测试ping192.168.1.54-l801-t(IP地址为靶机地址)Snort抓取信息后显示在终端：Snort测试ping192.168.1.54-l801-t(IP地址为靶机地址)数据库中signature表中信息：