《入侵检测与防御原理及实践（微课版）》 课件 第4--6章 开源入侵检测系统Snort2、开源入侵检测系统Snort3、Snort的规则.pptx

开源入侵检测系统Snort2;目录;Snort的体系结构;Snort是著名的开源、跨平台、轻量级的网络入侵检测系统，遵循公共通用许可证GPL，采用易于扩展的模块化体系结构。

Snort最早是由程序员MartyRoesch在1998年用C语言开发的基于libpcap/winpcap/npcap的数据包嗅探器和日志记录工具。

Snort采用基于规则的网络信息有哪些信誉好的足球投注网站机制，对数据包进行内容的模式匹配，从中发现入侵和探测行为。

Snort能对网络流量进行实时捕获，对协议进行分析，可以自定义规则库、预处理器及输出插件等扩充其功能，如果有与规则库匹配的非法流量和可疑数据，可以记录到日志文件，并实时报警。

;包解码器、预处理器、检测引擎、报警输出是SNORT系统的基本模块，以插件形式存在，有很强的可扩展性;（1）包捕获器：SNORT本身没有捕获数据包的模块，只能借助Linux的捕包函数库Libpcap或Windows的Winpcap直接从网卡获得数据包，并将捕获的数据包传递给包解码器。

（2）包解码器：用于将包捕获器传递过来的原始数据包进行解码，并将解码后的数据包存放到SNORT定义的结构体中，方便后续的预处理器和检测引擎处理。

（3）预处理器：用于将包解码器解码后的数据包进行预处理操作，使之规范化，方便检测引擎的检测。另外，预处理器也可以检测数据包是否有明显的错误，如果有则直接报警输出。预处理器是插件形式存在的，SNORT中内置了一些常用的预处理器，用户可以根据需要有选择地使用，也可根据添加自定义的预处理器。

（4）检测引擎：是SNORT系统最核心的模块，通过规则库判断经过解码和预处理之后的数据包是否存在入侵行为。需在SNORT启动前提前配置好规则库。

（5）报警输出：若数据包被检测出错误或非法，则由此模块进行记录并报警。报警信息可以日志文件形式的保存，也可以保存在MYSQL、ORACLE等数据库系统中。用户也可以定制输出插件，将检测后的数据进行直观展示。

（6）规则库：是检测引擎对数据包判断是否非法的依据，在SNORT启动时会对系统中的规则进行初始化，初始化好的规则被加载到一个三维链表中。

（7）日志文件或数据库：用于记录报警信息。;Snort支持以内联（Inline）模式配置为IPS做???断，只不过功能较弱。

最常见的部署方式还是作为IDS来使用，与现有设备形成异构，实现网络流量的交叉检查。

Snort作为IDS部署时，应将其以并联的方式挂接在所关注流量必经的链路上。

可以将Snort部署在防火墙两侧，具体有以下3种部署方案。

（1）部署防火墙外

（2）部署在防火墙内

（3）防火墙内外分别部署;Snort有嗅探器、数据包记录器和入侵检测3种工作模式。

嗅探器模式：相当于Wireshark、tcpdump这样的数据包捕获工具，用户可以实时查看网络接口流量。

数据包记录器模式：将抓取的数据包存储到本地硬盘中，文件名为snort.log.timestamp。用户可以使用Wireshark等软件或者snort-r功能分析该流量文件。

入侵检测模式：最核心的模式，将捕获的数据包与检测规则进行模式匹配，当发现数据包匹配上某条规则，就会执行这条规则中所定义的动作。;SNORT2的关键文件;SNORT的启动流程

（1）调用初始化函数SnortInit()，完成命令行解析、输出模块注册、预处理模块注册、规则选项模块构建、加载动态插件等操作。

（2）利用GetPacketSource()函数获取数据源，确定需要进行捕获数据报文的网卡，或者存储数据报文的文件；注册控制处理器，初始化进程文件和权限。;SNORT能调用不同的解码函数对捕获的数据包进行解析，根据检测规则对异常协议进行识别与报警。

数据包的处理过程;Snort2的安装与配置;Snort2目前最高版本为2.9.20，有源码版和Windows版;安装完成后还需要安装Npcap，并对配置文件snort.conf进行编辑。

;可以用snort-V查看Snort的版本和位数，也可以用snort-W可以查看版本、位数、可用接口等，还可以确定捕包函数库与Snort是否匹配。;配置snort.conf文件

1）设置网络变量

2）配置解码器

3）配置基础检测引擎

4）配置动态加载库

5）配置预处理器

6）配置输出插件

7）自定义规则集

8）自定义预处理器和解码器规则集

9）自定义共享对象规则集;1.设置网络相关变量

IP变量

ipvarHOME_NETany

ipvarEXTERNAL_NETany

ipvarDNS_SERVERS$HOME_NET

ipvarSMTP_SERVERS$HOME_NET

ipvarHTTP_SERVERS$HOME_NET

ipvarSQL_S