《网络攻防与协议分析》课件——2.SNORT介绍及策略配置.pptxVIP

SNORT介绍及策略配置

1SNORT基础介绍

SNORT简介Snort是一个跨平台、轻量级的网络入侵检测工具，从入侵检测的分类上看，Snort应当属于基于网络的误用检测。针对每一种入侵行为，都提炼出它的特征并按照规范写成规则，从而形成一个规则库，将捕获的数据包对照规则库逐一匹配，若匹配成功，则认为该入侵行为成立。轻巧级，源代码不到1MB；跨平台，在Linux,Windows,MacOSX,Solaris,BSD,IRIX,Tru64,HP-UX平台下均可使用；高性能，使用百兆网络线速处理；可配置，使用简单的规则语言，丰富的日志/配置分析工具；免费，GPL开源

数据处理过程Internet报文解码器预处理器检测引擎日志和告警输出模块告警输出或日志记录到文件丢弃报文Snort的设计遵守轻量级的网络入侵检测系统，基于Libpcap的报文嗅探接口，基于规则的检测引擎和支持无限扩展的插件系统。Snort的检测引擎是基于指纹的规则，采用模块化设计。具有丰富的检测能力（内置规则），可进行隐蔽扫描，操作系统识别扫描,、缓冲区溢出攻击、后门和CGI漏洞利用等等。规则系统设计十分灵活，易于创建新规则。Snort的插件有预处理器，报文在被送到检测引擎之前可以先进行预处理；检测功能，针对单个报文/报文字段的快速检测；输出功能，获取其他插件的输出结果。

软件架构嗅探器数据采集器预处理器检测引擎输出模块应用层传输层网络层数据链路层物理层嗅探告警、日志数据包嗅探模块：负责监听网络数据包，对网络进行分析。预处理模块：该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等。检测引擎：当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。输出报警/日志模块：如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIXsocket、SMB、SNMP协议的trap命令传送给日志文件。

SNORT安装过程-CentOS为例1、准备一台CentOS主机2、安装软件基础依赖3、下载DAQ、Snort和Rules4、安装DAQ、Snort5、配置Snort参数6、运行Snort准备一台最小化安装的CentOS即可gccgcc-c++flexbisonzlibzlib-devellibpcaplibpcap-develpcrepcre-devellibdnetlibdnet-develtcpdumpepel-releasenghttp2opensslopenssl-develLuaJIT/./configuremakesudomakeinstall/etc/snort/snort.conf运行测试snort-iens33-T-c/etc/snort/snort.conf

SNORT规则[Action][Protocol][SourceIP][SourcePort]-[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptionsSnort有6个预定义的动作，分别为：alert：使用所选的警报方法生成警报，然后记录数据包。log：记录数据包，可以记录在文件或者数据库中。pass：Snort会直接跳过该包，在设置该动作时可以加快Snort的操作速度。drop：阻止并记录数据包。reject：如果协议是TCP，则阻止数据包，记录日志，然后发送TCP重置消息，如果协议是UDP，则发送ICMP端口不可达消息sdrop：阻止数据包，但不要记录它。

SNORT规则[Action][Protocol][SourceIP][SourcePort]-[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptions协议类型Snort当前分析可疑包的ip协议有四种：TCP、UDP、ICMP和IP。将来可能会更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等。IP地址关键字“any”可以被用来定义任何地址。地址就是由直接的数字型IP地址和一个子网掩码组成的，例如00/24。端口号端口号可以用几种方法表示，包括“any”端口、静态端口定义、范围以及通过否定操作符。“any”端口是一个通配符，表示任何端口。静态端口定义表示一个单个端口号，例如23表示telnet，80表示http等等。端口范围用范围操作符“:”表示。方向操作符方向操作符“-”表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被认为是流来自的源主机，方向操作符右边的ip地址和端口信息是目标主机