- 1、本文档共40页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
开源入侵检测系统Snort2;目录;Snort的体系结构;Snort是著名的开源、跨平台、轻量级的网络入侵检测系统,遵循公共通用许可证GPL,采用易于扩展的模块化体系结构。
Snort最早是由程序员MartyRoesch在1998年用C语言开发的基于libpcap/winpcap/npcap的数据包嗅探器和日志记录工具。
Snort采用基于规则的网络信息有哪些信誉好的足球投注网站机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。
Snort能对网络流量进行实时捕获,对协议进行分析,可以自定义规则库、预处理器及输出插件等扩充其功能,如果有与规则库匹配的非法流量和可疑数据,可以记录到日志文件,并实时报警。
;包解码器、预处理器、检测引擎、报警输出是SNORT系统的基本模块,以插件形式存在,有很强的可扩展性;(1)包捕获器:SNORT本身没有捕获数据包的模块,只能借助Linux的捕包函数库Libpcap或Windows的Winpcap直接从网卡获得数据包,并将捕获的数据包传递给包解码器。
(2)包解码器:用于将包捕获器传递过来的原始数据包进行解码,并将解码后的数据包存放到SNORT定义的结构体中,方便后续的预处理器和检测引擎处理。
(3)预处理器:用于将包解码器解码后的数据包进行预处理操作,使之规范化,方便检测引擎的检测。另外,预处理器也可以检测数据包是否有明显的错误,如果有则直接报警输出。预处理器是插件形式存在的,SNORT中内置了一些常用的预处理器,用户可以根据需要有选择地使用,也可根据添加自定义的预处理器。
(4)检测引擎:是SNORT系统最核心的模块,通过规则库判断经过解码和预处理之后的数据包是否存在入侵行为。需在SNORT启动前提前配置好规则库。
(5)报警输出:若数据包被检测出错误或非法,则由此模块进行记录并报警。报警信息可以日志文件形式的保存,也可以保存在MYSQL、ORACLE等数据库系统中。用户也可以定制输出插件,将检测后的数据进行直观展示。
(6)规则库:是检测引擎对数据包判断是否非法的依据,在SNORT启动时会对系统中的规则进行初始化,初始化好的规则被加载到一个三维链表中。
(7)日志文件或数据库:用于记录报警信息。;Snort支持以内联(Inline)模式配置为IPS做??断,只不过功能较弱。
最常见的部署方式还是作为IDS来使用,与现有设备形成异构,实现网络流量的交叉检查。
Snort作为IDS部署时,应将其以并联的方式挂接在所关注流量必经的链路上。
可以将Snort部署在防火墙两侧,具体有以下3种部署方案。
(1)部署防火墙外
(2)部署在防火墙内
(3)防火墙内外分别部署;Snort有嗅探器、数据包记录器和入侵检测3种工作模式。
嗅探器模式:相当于Wireshark、tcpdump这样的数据包捕获工具,用户可以实时查看网络接口流量。
数据包记录器模式:将抓取的数据包存储到本地硬盘中,文件名为snort.log.timestamp。用户可以使用Wireshark等软件或者snort-r功能分析该流量文件。
入侵检测模式:最核心的模式,将捕获的数据包与检测规则进行模式匹配,当发现数据包匹配上某条规则,就会执行这条规则中所定义的动作。;SNORT2的关键文件;SNORT的启动流程
(1)调用初始化函数SnortInit(),完成命令行解析、输出模块注册、预处理模块注册、规则选项模块构建、加载动态插件等操作。
(2)利用GetPacketSource()函数获取数据源,确定需要进行捕获数据报文的网卡,或者存储数据报文的文件;注册控制处理器,初始化进程文件和权限。;SNORT能调用不同的解码函数对捕获的数据包进行解析,根据检测规则对异常协议进行识别与报警。
数据包的处理过程;Snort2的安装与配置;Snort2目前最高版本为2.9.20,有源码版和Windows版;安装完成后还需要安装Npcap,并对配置文件snort.conf进行编辑。
;可以用snort-V查看Snort的版本和位数,也可以用snort-W可以查看版本、位数、可用接口等,还可以确定捕包函数库与Snort是否匹配。;配置snort.conf文件
1)设置网络变量
2)配置解码器
3)配置基础检测引擎
4)配置动态加载库
5)配置预处理器
6)配置输出插件
7)自定义规则集
8)自定义预处理器和解码器规则集
9)自定义共享对象规则集;1.设置网络相关变量
IP变量
ipvarHOME_NETany
ipvarEXTERNAL_NETany
ipvarDNS_SERVERS$HOME_NET
ipvarSMTP_SERVERS$HOME_NET
ipvarHTTP_SERVERS$HOME_NET
ipvarSQL_SE
您可能关注的文档
- 《入侵检测与防御原理及实践(微课版)》 课件 CH1 网络入侵与攻击.pptx
- 《入侵检测与防御原理及实践(微课版)》 课件 CH2 入侵检测与防御原理.pptx
- 《入侵检测与防御原理及实践(微课版)》 课件 CH3 CISCO IPS.pptx
- 《入侵检测与防御原理及实践(微课版)》 课件 CH5 开源入侵检测系统Snort3.pptx
- 《入侵检测与防御原理及实践(微课版)》 课件 CH6 Snort的规则.pptx
- 《入侵检测与防御原理及实践(微课版)》 课件全套 CH1 网络入侵与攻击 ---CH6 Snort的规则.pptx
- 董事长助理个人工作总结范文.pdf
- HLLG-GS-B--8《顾客管理程序》.pdf
- 精选教育工作计划4篇.pdf
- 饮用水项目风险管理方案.pdf
文档评论(0)