snort入侵检测.ppt

Snort IDS Snort简介 Snort是美国Sourcefire公司开发的IDS（Intrusion Detection System）软件。Snort是一个基于Libpcap的轻量级入侵检测系统,所谓轻量级有两层含义 : 首先它能够方便地安装和配置在网络的任何一个节点上 , 而且不会对网络运行产生太大的影响;其次是它应该具有跨平台操作的能力,并且管理员能够用它在短时间内通过修改配置进行实时的安全响应。 Snort简介 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器 模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果 采取一定的动作。  Snort简介 -?嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。 -?数据包记录器如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包 -?网络入侵检测系统(NIDS)snort最重要的用途还是作为网络入侵检测系统(NIDS) Snort架构 Snort架构 Snort由几大软件模块组成 , 这些软件模块采用插件方式与 Snort结合 , 扩展起来非常方便 , 例如有预处理器和检测插件 , 报警输出插件等,开发人员也可以加入自己编写的模块来扩展 Snort的功能 。 Snort系统 由四个基本模块组成 : 数据包嗅探器 、 预处理器 、 检测引擎和报警输出模块。 所有这些子模块都建立在数据包截获库函数接口Libpcap的基础上。 Snort规则 举例： alert tcp any any - any any (msg:”this is test”; sid:1000001) 最简单的规则：对网络中的每一条TCP包输出一条警告，警告信息为“this is a test”. sid表示规则的编号。 Snort规则 Snort规则被分成两个逻辑部分：规则头和规则选项。 规则头包含规则的动作，协议，源和目标ip地址与网络掩码，以及源和目标端口信息； 规则选项部分包含报警消息内容和要检查的包的具体部分。 Snort规则头 规则头由规则动作、协议、IP地址、端口号、方向操作符组成。 动作： 1.?Alert-使用选择的报警方法生成一个警报，然后记录（log）这个包。2.?Log-记录这个包。3.?Pass-丢弃（忽略）这个包。 Snort规则头 规则头由规则动作、协议、IP地址、端口号、方向操作符组成。 协议： Snort当前分析可疑包的协议有四种：tcp、udp、icmp和ip。 Snort规则头 规则头由规则动作、协议、IP地址、端口号、方向操作符组成。 IP地址和端口号： 目的IP和端口、源IP和端口 Snort规则头 规则头由规则动作、协议、IP地址、端口号、方向操作符组成。 方向操作符-表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被认为是流来自的源主机，方向操作符右边的ip地址和端口信 息是目标主机，还有一个双向操作符。它告诉snort把地址/端口号对既作为源，又作为目标来考虑。 Snort规则选项 规则选项部分中冒号前的单词称为选项关键字（option keywords） 所有的snort规则选项用分号；隔开。规则选项关键字和它们的参数用冒号：分开。按照这种写法，snort中有42个规则选项关键字。 Snort规则选项 选项关键字举例： Msg - 在报警和包日志中打印一个消息。 sid - snort规则id。 dsize - 检查包的净荷尺寸的值 。 rev - 规则版本号。 classtype - 规则类别标识。 priority - 规则优先级标识号。 Snort规则选项 当多个关键字放在一起时，可以认为它们组成了一个逻辑与（AND）语句。同时，snort规则库文件中的不同规则可以 认为组成了一个大的逻辑或（OR）语句。 Snort规则 Snort对安全威胁的分类 Snort对安全威胁的分类 Snort输出到数据库 Event：列举所有事件 Signature：告警信息 Snort测试 alert icmp $EXTERNAL_NET any - $HOME_NET any (msg:ICMP Large ICMP Packet; dsize:800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;) 用于检测大的ping包，长度大于800的包即被认为大包。以入