块是Snort体系中两个重要的部分,预处理器在Snort应用规则前处理

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

与处理器和输出模块是Snort体系中两个重要的部分，预处理器在Snort应用规则前处理接收到的数据。输出模块输出Snort探测机制所产生的数据。数据包通过Snort的流程图如图4-1所示。被捕获的数据包首先经过预处理器，然后，经过探测引擎根据规则处理。根据规则处理的结果，输出处理器处理日志或者告警。

Snort允许你对预处理器和输出模块进行配置，这些工作可以通过修改snort.conf来完成。在本书中，输入插件和预处理器是同一概念，输出插件和输出模块也是同一概念。本章将对这些组件进行讨论。

4.1预处理器

当Snort接收到数据包的时候，主探测引擎并不能对它们进行处理和应用规则，比如，数据包有可能是分片的，需要重新组装，预处理器就是做这样的工作，使数据能够被探测引擎处理，另外，一些预处理器还可以做一些其它工作，比如探测包中的一些明显错误。下面给你介绍预处理器如何工作。

在安装过程中，你可以在编译的时候选择对各种预处理器的支持。各种预处理器的配置参数在snort.conf中调整，你可以在通过这个文件打开或者关闭某个预处理器。

捕获的包要经过所有已经打开的预处理器，不能跳过，因此如果你如果打开了大量的预处理器，就会降低Snort的运行速度。

在snort.conf中，你可以用preprocessor关键字打开预处理器，格式如下：

preprocessor [: parameters]

后面的参数通常是可选项。

你也可以编写自己的预处理器，察看Snort源代码doc目录中的README.PLUGIN文件，你可以获得相关的资料，也可以在templates目录中查看源代码示例。

4.1.1HTTP解码

Snort可以对HTTP协议各种形式的编码进行解码，并从中找出已知的攻击特征。你可以将HTTP服务器的端口列表作为HTTP解码预处理器的参数。例如下面的命令可以对在80，8080和443端口的HTTP相关数据包进行解码，以便探测引擎处理：

preprocessor http_decode: 80 8080 443

尤其重要的是，如我们前面所提到的，关于HTTP的攻击也常用各种变换形式，如果应用HTTP 解码预处理器，就可以更有效的探测到这些企图。

4.1.2端口扫描

端口扫描是用来发现网络上主机开放的端口的方法。任何入侵者的第一个行动通常都是找出网络上在运行一些什么样的服务。一旦入侵者找到了这样的信息，就可以尝试针对相关服务弱点的攻击了。端口扫描预处理器的作用是监测端口扫描的活动，这种预处理器可以将端口扫描行为记录到指定的位置或者标准的日志。黑客们使用很多种扫描方式，你也可以查看nmap的文档来获得更多的信息。

下面是在snort.conf中应用端口扫描预处理器的大体格式：

preprocessor portscan:

这个预处理器有4个相关的参数

所监控的地址范围，采用CIDR规格。

在一个时间段内访问的端口数目，例如这个参数取5表示在一个时间段内，如果超过5个端口被扫描，则产生告警。

时间段，用来配合上个参数的门限时间范围，用秒表示。

记录日志的文件路径。

下面是个配置实例，用来监测针对网络192.168.1.0/24的端口扫描，并将日志记录到

/var/log/snort/portscan.log文件中。

preprocessor portscan: 192.168.1.0/24 5 10 \

/var/log/snort/portscan.log

端口扫描活动是针对TCP和UDP端口的。端口扫描预处理器可以监测正常端口和隐秘端口的扫描。针对隐秘端口的扫描，可以查看nmap的相关文档或网站。端口扫描的主要方法如下：

TCP端口连接扫描。这种方式试图对某个端口进行标准的TCP连接，如果连接建立，则表示这个端口是打开的。

SYN扫描。入侵者发送一个带有SYN标志的TCP包到某个端口，如果收到了带有SYN和ACK标志的回应，那么这个端口是打开的，如果收到了带有RST标志的包，这个端口就是关闭的。

NULL端口扫描，FIN端口扫描，XMAS端口扫描，这是几个比较类似的扫描方式。入侵者发送一个TCP包出去，如果收到带有RST标志的包，表示端口是关闭的，如果什么包也没有收到，就有端口打开的可能性。

还有一种预处理器，可以和这种预处理器一同工作，它叫做端口扫描忽略预处理器，用来忽略针对某些主机的扫描行为，用法如下例所示：

preprocessor portscan-ignorehosts: 192.168.1.10/32 \

192.168.1.13/32

4.1.3 frag2模块

这个预处理器用来组装包的分片，老版本的Snort用defrag。

应用frag2的时候，你可以配置组装分片的超时和内存上限。默认情况下是4M的内存和60秒的超时界限。如果在这个时间段内没有完成，就把包丢弃。下面的命令用默认参数打开frag2：

preprocessor frag2

下面的命令将frag2配置为2M的内存上限和30秒的超时。

在一个高速的网络中，你应该用更多的内存上限。

4.1.4 stream4模块

这个模块用来代替老版本的Stream模块，它有两个基本功能：

Tcp数据流的组装

状态监测

为了使Stream4正常工作，你必须在snort.conf中配置两个预处理器，分别是“stream4”和

“stream4_reassemble.”它们都有很多的参数，如果你不配置这些参数，系统就会采用默认值。Stream4预处理器的大体格式如下：

preprocessor stream4: [noinspect], [keepstats], \

[timeout ], [memcap ], [detect_scan], \

[detect_state]

下面是stream4_reassemble预处理器的主要格式：

preprocessor stream4_reassemble: [clientonly],

[serveronly],[noalerts],[ports]

下面是这个预处理器的主要参数的描述

4.1.5 spade模块

SPADE是统计包异常探测引擎的缩写，你可以在

/software/spice/index.htm看到相关信息。它被用来在IP包中探测异常情况。这个预处理器有很多相关的关键字，在snort.conf模板中可以找到相关的描述。SPADE保存历史数据的记录，并用门限值来报告异常情况。

要记住SPADE对系统的要求比较高，尤其是在高负荷的网络上，因此要小心使用。

4.1.6 ARP欺骗

ARP用来获得某个IP地址相关的MAC地址。

ARP协议也被很多人用来攻击，探测和欺骗。ARP欺骗可以将到某个主机的通信重定向到别的地方。

Arpspoof预处理器用来探测ARP包中的异常，它可以做以下的事情：

对于所有的ARP请求，如果源MAC地址与发送者的MAC地址不同，就产生告警。

对于APR回应包，如果源MAC地址与发送者的MAC地址不同，或目的MAC地址与接收者的