snort入侵检测
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Snort规则选项
规则选项部分中冒号前的单词称为选项关键字 (option keywords) 所有的snort规则选项用分号";"隔开。规则选 项关键字和它们的参数用冒号":"分开。按照 这种写法,snort中有42个规则选项关键字。
Snort规则选项
选项关键字举例: Msg - 在报警和包日志中打印一个消息。 sid - snort规则id。 dsize - 检查包的净荷尺寸的值 。 rev - 规则版本号。 classtype - 规则类别标识。 priority - 规则优先级标识号。
Snort规则选项
当多个关键字放在一起时,可以认为它们组成了 一个逻辑与(AND)语句。同时,snort规则库 文件中的不同规则可以 认为组成了一个大的逻 辑或(OR)语句。
Snort规则
Snort对安全威胁的分类
Snort对安全威胁的分类
Snort输出到数据库
Event:列举所有事件 Signature:告警信息
Snort规则
举例: alert tcp any any -> any any (msg:”this is test”; sid:1000001) 最简单的规则:对网络中的每一条TCP包输出一条警告,警告 信息为“this is a test”. sid表示规则的编号。
Snort规则
Snort规则被分成两个逻辑部分:规则头和规则 选项。 规则头包含规则的动作,协议,源和目标ip地址 与网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包 的具体部分。
Snort IDS
Snort简介
Snort是美国Sourcefire公司开发的IDS(Intrusion Detection System)软件。
Snort是一个基于Libpcap的轻量级入侵检测系统,所谓轻 量级有两层含义 : 首先它能够方便地安装和配置在网络的 任何一个节点上 , 而且不会对网络运行产生太大的影响;其 次是它应该具有跨平台操作的能力,并且管理员能够用它 在短时间内通过修改配置进行实时的安全响应。
SnBiblioteka Baidurt规则头
规则头由规则动作、协议、IP地址、端口号、 方向操作符组成。 动作: 1. Alert-使用选择的报警方法生成一个警报,然 后记录(log)这个包。 2. Log-记录这个包。 3. Pass-丢弃(忽略)这个包。
Snort规则头
规则头由规则动作、协议、IP地址、端口号、 方向操作符组成。 协议: Snort当前分析可疑包的协议有四种:tcp、udp 、icmp和ip。
Snort架构
Snort架构
Snort由几大软件模块组成 , 这些软件模块采用插件方式 与 Snort结合 , 扩展起来非常方便 , 例如有预处理器和检 测插件 , 报警输出插件等,开发人员也可以加入自己编写 的模块来扩展 Snort的功能 。 Snort系统 由四个基本模块组成 : 数据包嗅探器 、 预处 理器 、 检测引擎和报警输出模块。 所有这些子模块都 建立在数据包截获库函数接口Libpcap的基础上。
Snort测试
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Large ICMP Packet"; dsize:>800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;) 用于检测大的ping包,长度大于800的包即被认 为大包。 以入侵检测工作模式开启snort后,用超过800的 大包去ping靶机即可。
Snort简介
snort有三种工作模式:嗅探器、数据包记录器、 网络入侵检测系统。嗅探器模式仅仅是从网络 上读取数据包并作为连续不断的流显示在终端 上。数据包记录器 模式把数据包记录到硬盘上。 网路入侵检测模式是最复杂的,而且是可配置 的。我们可以让snort分析网络数据流以匹配用 户定义的一些规则,并根据检测结果 采取一定 的动作。
Snort测试
ping 192.168.1.54 -l 801 -t(IP地址为靶机地址) Snort抓取信息后显示在终端:
Snort测试
ping 192.168.1.54 -l 801 -t(IP地址为靶机地址)
数据库中signature表中信息:
Snort规则头
规则头由规则动作、协议、IP地址、端口号、 方向操作符组成。 IP地址和端口号: 目的IP和端口、源IP和端口
Snort规则头
规则头由规则动作、协议、IP地址、端口号、 方向操作符组成。 方向操作符"->"表示规则所施加的流的方向。 方向操作符左边的ip地址和端口号被认为是流来 自的源主机,方向操作符右边的ip地址和端口信 息是目标主机,还有一个双向操作符"<>"。它 告诉snort把地址/端口号对既作为源,又作为目 标来考虑。
Snort简介
- 嗅探器 所谓的嗅探器模式就是snort从网络上读出数据包 然后显示在你的控制台上。 - 数据包记录器 如果要把所有的包记录到硬盘上,你需要指定一 个日志目录,snort就会自动记录数据包 - 网络入侵检测系统(NIDS) snort最重要的用途还是作为网络入侵检测系统 (NIDS)