Snort简介.pptVIP

Snort简介 翁学天 Snort是什么? snort是一个免费的基于libpcap的轻量级网络入侵检测系统。它能够跨系统平台操作，自带轻量级的入侵检测工具可以用于监视小型的TCP/IP网络，在进行网络监视时snort能够把网络数据和规则进行模式匹配，从而检测出可能的入侵企图，同时它也可以使用SPADE插件，使用统计学方法对网络数据进行异常检测，这些强大的检测功能为网络管理员对于入侵行为做出适当的反击提供了足够的信息。 snort使用一种易于扩展的模块化体系结构，开发人员可以加入自己编写的模块来扩展snort的功能。这些模块包括：HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。 同时snort还是一个自由、简洁、快速、易于扩展的入侵检测系统，已经被移植到了各种UNIX平台和Win98，Win2000上。它也是目前安全领域中，最活跃的开放源码工程之一。在S上几乎每天都提供了最新的规则库以供下载，由于snort本身是自由的源码开放工程所以在使用snort时除了必要的硬件外软件上基本上不需要有任何额外的开销。这相对于少则上千多则上万的商业入侵检测系统来说，无疑是最好的替代产品之一。 Snort是什么？ 如果刚才大段的话大家看着头疼的话 即时通讯分析和咨询包记录 包装有效载荷检查 协定分析和内容查询匹配 探测缓冲溢出，秘密埠扫描，CGI攻击，SMB探测，作业系统侵入尝试 对系统日志、指定文件、Unix socket或通过Samba的WinPopus进行即时报警 入侵检测技术简介 入侵检测就是一个监视计算机系统或者网络上发生的事件，然后对其进行安全分析的过程。它可以用来发现外部攻击与合法用户滥用特权，根据用户的历史行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故处理提供依据。 入侵检测技术简介 大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三类。基于主机的入侵检测系统是一种早期的IDS设计模型，它主要设计用来监视单一的服务器，因为DNS、Email和web服务器是多数网络攻击的目标，这些攻击大约占据全部网络攻击事件的1/3以上，基于主机的入侵检测系统就是为了解决这些问题而设计的，它能够监视针对主机的活动（用户的命令、登录/退出过程，使用数据等等），它的特点就是针对性好而且，效果明显，误报率低。基于网络的入侵检测系统是后于基于主机入侵检测系统而出现的，它主要用于集中用于监控通过网络互连的多个服务器和客户机，能够监视网络数据发现入侵或者攻击的蛛丝马迹。分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。 在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否是入侵行为,然后系统根据检测结果采取相应的行动。入侵检测的过程是一个机器(检测工具)与人(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理,需要用到人工智能的相关技术。 入侵检测技术简介 各种入侵检测系统使用的检测方法可以分为两类：基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获得数据，然后从中发现以知的攻击特征。例如：在某些URL中包含一些奇怪的Unicode编码字符就是针对IIS Unicode缺陷的攻击特征。此外各种模式匹配技术的应用，提高了这种检测方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较，检测这些数据是否异常。例如：如果一个雇员的工作时间是上9点到下午5点，但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器，这就是一个异常事件，需要深入调查。现在，大量的统计学方法用于这个领域。 Snort的使用 不废话了，直接开始正题 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 着重介绍网络入侵检测系统 Snort的使用 参数介绍：? 命令行是snort?-[options]?filters? 选项：? -A?alert?设置alert的模式是full,fast,还是none;full模式是记录标准的alert模式到alert文件中；Fast模式只写入时间戳，messages,?IPs,ports到文件中，None模式关闭报警。? -a????是显示ARP包；? -b????是把LOG的信息包记录为TCPDUM