Snort 检测软件了解.pdf

Snort检测软件 作业四 Snort检测软件的了解 姓名：陈清早 学号：PT1400158 Snort检测软件 目录 1 Snort系统概述 1.1 Snort的功能 1.2 Snort特点 1.3 Snort系统结构 1.4 Snort模块分析 2 相关协议介绍 2.1Ethernet协议 2.2IP协议 2.3TCP协议 3 Snort规则 3.1 规则的结构 4 Snort规则典型实例分析—特洛依木马 5 结论 参考文献 -1- Snort检测软件 1 Snort系统概述 Snort是以开放源代码形式发行的一个功能强大、跨平台、轻量级的网络入侵检测系统。 最初由MartinRoesch编写，并由遍布世界各地的众多程序员共同维护和升级。从检测模 而言，Snort属于网络入侵检测(NIDS)的误用检测。它通过libpcap库函数 （数据包捕获函数 库）从网络中抓取数据包，对数据包进行解析，接着启动检测引擎，将解释好的数据包和规 则模式集进行比较。如果匹配规则成功，则认为该入侵行为成立，使用规定的方式进行响应， 然后结束一个数据包的处理过程，再抓取下一个数据包。如果未被规则匹配到，则是正常行 为，直接返回，抓取下一个包进行处理。 1.1 Snort的功能 （1）Snort是基于规则检测的入侵检测工具，即针对每一种入侵行为，都提炼出它的特征值， 并按照规范写成检测规则，形成一个规则数据库。利用此规则库和捕获的数据包进行比较， 来判断是否为入侵。目前，Snort 的检测规则库主要针对缓冲区溢出、端口扫描和CGI （CommonGatewayInterface公共网关接口）攻击等。 （2）Snort集成了多种告警机制来提供实时告警功能，包括：syslog （系统日志）、用户指 定文件、UnixSocket（套接字）、通过Smblient（查看访问共享资源）使用WinPopup（window 中局域网发送和接收消息进程）对Windows客户端告警。 （3）Snort的插件机制使得它具有很好的扩展性和可移植性，用户可以根据自己的需要及时 在短时间内调整检测策略，对于新的攻击威胁做出迅速反应。 1.2 Snort特点 虽然Snort是一个轻量级的入侵检测系统，但是它的功能却非常强大，其特点如下: （1）Snort代码短小，简洁，而且移植性非常好。目前支持Linux系列，Solaris，BSD系列， IRIX，HP-UNIX，Windows系列等。 （2）Snort具有实时流量分析和日志IP 网络数据包的能力。能够快速检测网络攻击，及时 发出警报。它提供的警报方式很多，比如Syslog，UnixSocket，WinPopup等。 （3）Snort能够进行协议分析，内容的匹配和搜索。能够分析的协议TCP、UDP、ICMP。 它能检测多种方式的攻击和探测。 （4）Snort具有灵活的日志格式。包括Tcpdump(一种网络数据采集分析具)的二进制格 ， ASCLL字符形 ，XML格 ，而且使用数据库输出插件，还支持数据库日志格 。当前支 持的数据库有Postagresql、Mysql，任何UnixODBC、MicrosoftSQLServer、Oracle等都支 持。 （5）使用TCP流插件，Snort可以对TCP包进行重组。这种能力使得Snort可以对抗 “无 状态”攻击。“无状态”攻击是指攻击者每次只发送一个字节的数据包，逃过监视，然后被 攻击主机的TCP协议栈会重新组合这些数据包，将攻击数据发送给目标端口上监听的进程， 从而摆脱IDS 的检测。 （6）使用Spade(StatisticalPacketAnomalyDetectionEngine数据包统计异常检测引擎)插件， Snort能够报告异常的数据包，从而对端口进行有效的检测。 （7）Snort还具有很强的系