Snort简介MSE安全攻防

几个重要的数据结构
Snort系统中最重要的全局数据结构就是Packet结构， Packet数据结构控制着整个系统正常工作的关键信息。所 以，该数据结构在代码中出现的频率最高。 Packet数据结构如下(代码太长，截取部分)： Typedef struct_Packet { struct pcap_pkthdr pkth; /*BPF data*/ u_int8_t *pkt; /*base pointer to the raw packet data*/
特点6
使用Spade(Statistical Packet Anomaly Detection Engine)插件，Snort能够报告非 正常的包，从而对端口扫描进行有效的检 测
特点7
Snort还有很强的系统防护能力 如:使用其IPTables,IPFilter插件可以使入侵 检测主机与防火墙联动，通过FlexResp功 能，Snort能够命令防火墙主动短开恶意连 接
特点9
Snort支持插件，可以使用具有特定功能的 报告，检测子系统插件对其功能进行扩展 Snort当前支持的插件包括:数据库日志输出 插件，破碎数据包检测插件，端口扫描检 测插件，HTTP URI插件，XML网页生成等 插件
特点10
Snort的规则语言非常简单，能够对新的网 络攻击做出很快的反应 发现新攻击后，可以很快地根据Bugtrag邮 件列表，找到特征码，写出新的规则文件
特点5
使用TCP流插件（TCPSTREAM），Snort可以对 TCP包进行重组 Snort能够对IP包的内容进行匹配，但是对于TCP 攻击，如果攻击者使用一个程序，每次发送只有 一个字节的数据包，完全可以避开Snort的模式匹 配。而被攻击的主机的TCP协议栈会重组这些数 据，将其发送给目标端口上监听的进程，从而使 攻击包逃过Snort的监视 使用TCP流插件，可以对TCP包进行缓冲，然后 进行匹配，使Snort具备对付上面攻击的能力
/default.ida?NNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNN.. ..NNNNNNNNNNNNNN NN%u9090%6858%ucbd3…
是我们熟悉的红色代码蠕虫特征
特点1
Snort虽然功能强大，但是其代码极为简洁， 短小，其源代码压缩包只有200KB不到 Snort可移植性非常好。Snort的跨平台性能 极佳，目前已经支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows 系列，ScoOpenserver,Unixware等
特点2
但是恶意攻击者也会故意发送经过软件加 工过的数据包，以便把一个带有攻击性的 数据包分散到各个小的数据包中，并有可 能打乱数据包传输次序，分多次传输到目 标主机 这样做的好处是减少被检测到的概率
为此，入侵检测系统有专门针对数据包上 DM字段标示为分段数据流的处理，此模块 对这些分段数据包可以进行正确的从组 （即使包的发送次序被打乱）
此特性对于内容监控应用同样有意义
协议编码
协议编码是指有些协议是比较灵活的，如 HTTP等协议。它支持多种编码，如ASCII 码等，这就需要预处理模块进行处理，以 便后续模块进行操作。同时，还有可能发 现一些特定攻击类型。如： http://Domain.com/scripts/..%c1%c...../cm d.exe?/c+dir 就是我们熟悉的目录遍历漏洞特征
Snort具有实时流量分析和日志Ip网数据包的能力。 能够快速地检测网络活动，及时地发出报告
Snort的警报机制很丰富。 例如：Syslog,用户指定文件，UnixSocket，还有 使用SAMBA协议向Windows客户程序发出 WinPopup消息。利用XML插件，Snort可以使用 SNML(简单网络标记语言.simple network markup language)把日志存放在一个文件或者适 时警报
Snort简介MSE安全攻防
Snort是一个强大的轻量级的网络入侵检测 系统
它具有实时数据流量分析和日志Ip网络数据 包的能力，能够进行协议分析，对内容搜 索/匹配
Snort具有很好的扩展性和可移植性
遵循公用许可GPL，所以只要遵守GPL任 何组织和个人都可以自由使用
可对其进行二次开发，用于内容监控等应 用
协议异常检测
特Βιβλιοθήκη Baidu8
扩展性能较好，对于新的攻击威胁反应迅 速
作为一个轻量级的网络入侵检测系统， Snort有足够的扩展能力。它使用一种简单 的规则描述语言(很多商用入侵检测系统都 兼容Snort的规则语言)
最基本的规则知识包含四个域：处理动作， 协议，方向，端口。 例如 Log Tcp Any any -> 10.1.1.0/24 80(谁 都看得明白)
Fddi_hdr fddihdr; /*FDDI support headers*/ ………… }
预处理模块
预处理模块的作用是对当前截获的数据包 进行预先处理，以便后续处理模块对数据 包的处理操作 1) 数据包分片重组及数据流重组 2) 协议编码 3) 协议异常检测
数据包分片重组及数据流重组
在正常情况下，数据包在网络上由于最大 数据传输单元可能有限制MTU及网络延迟 等问题，路由器会对数据包进行分片处理
特点3
Snort能够进行协议分析，内容的搜索/匹配 现在Snort能够分析的协议有TCP,UDP和 ICMP 将来的版本，将提供对 ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPL EX等协议的支持
特点4
Snort的日至格式既可以是Tcpdump的二进 制格式，也可以编码成ASCII字符形式，更 便于拥护尤其是新手检查，使用数据库输 出插件，Snort可以把日志记入数据库 当前支持的数据库包 括:Postagresql,MySQL,任何UnixODBC数 据库,MicrosoftMsSQL,还有Oracle等数据库