轻量级网络入侵检测系统SNORT.docVIP

　　轻量级网络入侵检测系统SNORT～教育资源库 　　1.简介 　　在网络日益普及的今天，网络安全变的越来越重要，作为网络安全的一个重要组成部分网络入侵检测系统(Net，NIDS)也越来越显示出其重要性。NIDS用来监视网络数据流动情况，当入侵发生时能够提供报警。现在已经出现了很多商业的NIDS，但是它们大多比较复杂，比较难以掌握，而且比较昂贵，比较小的公司无法承受。本文将介绍一个出色的免费NIDS系统---snort，它基于GPL，是Martin Roesch。最新版本是1.70版。本文将介绍snort的技术特点及如何使用snort作为NIDS。 　　2.SNORT的特点 　　snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，snort具有很好的扩展性和可移植性。还有，这个软件遵循通用公共许可证GPL，所以只要遵守GPL任何组织和个人都可以自由使用。 　　snort是一个轻量级的入侵检测系统 　　snort虽然功能强大，但是其代码极为简洁、短小，其源代码压缩包只有大约110KB。 　　snort的可移植性很好 　　snort的跨平台性能极佳，目前已经支持Linux,Solaris,BSD,IRIX,HP-UX,BA协议向P。将来，可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。 　　snort的日志格式既可以是tcpdump式的二进制格式，也可以解码成ASCII字符形式，更加便于用户尤其是新手检查。使用数据库输出插件，snort可以把日志记入数据库，当前支持的数据库包括：Postgresql、MySQL、任何unixODBC数据库,还有Oracle(对Oracle的支持目前处于测试阶段)。 　　使用TCP流插件(tcpstream)，snort可以对TCP包进行重组。snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有一个字节的TCP包，完全可以避开snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据，将其送给在目标端口上监听的进程，从而使攻击包逃过snort的监视。使用TCP流插件，可以对TCP包进行缓冲，然后进行匹配，使snort具备了对付上面这种攻击的能力。 　　使用spade(Statistical Packet Anomaly Detection Engine)插件，snort能够报告非正常的可疑包，从而对端口扫描进行有效的检测。 　　snort还有很强的系统防护能力。使用FlexResp功能，snort能够主动断开恶意连接。 　　扩展性能较好，对于新的攻击威胁反应迅速 　　作为一个轻量级的网络入侵检测系统，snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个个域：处理动作、协议、方向、注意的端口。例如： 　　log tcp any any -gt; /24 79 。 　　还有一些功能选项可以组合使用，实现更为复杂的功能。将有一篇单独的文章讨论如何写snort规则。用户可以从.得到其规则集。另外，著名的黑客Max Vision在.alization插件、XML插件等。 　　snort的规则语言非常简单，能够对新的网络攻击做出很快的反应。发现新的攻击后，可以很快根据Bugtraq邮件列表，找出特征码，写出检测规则。因为其规则语言简单，所以很容易上手，节省人员的培训费用。 　　遵循公共通用许可证GPL 　　snort遵循GPL，所以任何企业、个人、组织都可以免费使用它作为自己的NIDS。 　　3.安装 　　如何获得snort 　　可以从snort的站点.获得其源代码或者RPM包。使用源代码安装snort需要libpcap库，可以从下载， 　　安装snort 　　RPM包，可以使用下面的命令进行安装： 　　bash#rpm -ihv --nodeps snort-1.7-1.i386.rpm 　　源代码： 　　解压libpcap包： 　　bash#unpress libpcap.tar.Z 　　bash#tar xvf libpcap.tar 　　编译libpcap库： 　　bash#./configure 　　bash#make 　　解压snort-1.7.0.tar.gz 　　bash#tar zxvf snort-1.7.0.tar.gz 　　进入到其所在目录，编译sno