第10章 Sort入侵检测系统.pptVIP

第10章 Snort入侵检测系统 入侵检测系统已经成为了安全市场上新的热点，不仅越来越多地受到人们的关注，而且已经开始在各种不同的环境中发挥着关键的作用。本章将介绍入侵检测的基本概念、Snort的安装与使用、Snort的配置、以及Snort规则的编写等内容。 10.1 入侵检测简介 传统上，企业网络一般采用防火墙作为安全的第一道防线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对网络安全的进一步需要，网络的防卫必须采用一种纵深的、多样化的手段。入侵检测系统是继防火墙之后，保护网络安全的第二道防线，它可以在网络受到攻击时，发出警报或者采取一定的干预措施，以保证网络的安全。本节主要介绍网络安全的基础知识、网络攻击的类型、入侵检测系统的组成与工作原理等内容。 10.1.1 网络安全 网络安全是指提供网络服务的整个系统的硬件、软件、以及数据要受到保护，不会因为偶尔或恶意的原因而遭到破坏、更改、泄露或者中断服务，确保系统能连续、可靠、正常地运行。网络安全是一门涉及计算机科学、应用数学、信息论、密码技术、网络技术、通信技术、信息安全技术等多种学科的综合性学科。在不同的应用和环境下，网络安全会被赋予不同的内容。 10.1.2 常见的网络攻击类型 防范网络攻击是保证网络安全的一项重要内容，黑客攻击网络的手法虽然五花八门，但也是有一定规律的。具体来说，黑客常用的攻击手法有以下几种类型。 1．漏洞扫描 2．密码破解 3．DoS和DDoS攻击 4．缓冲区溢出 5．系统后门与木马程序 10.1.3 入侵检测系统 入侵检测系统可以分为基于网络、基于主机以及分布式三类。图10-1所示的是典型的入侵检测系统的结构模型。 10.2 Snort的安装与使用 Snort是Linux平台上最常用的遵循GNU GPL的入侵检测系统，同时它还是一个非常优秀的数据包抓取工具。本节将介绍Snort的功能特点，Snort软件的获取、安装与运行，Snort命令的格式、Snort作为抓包工具时的使用方法等内容。 10.2.1 Snort简介 Snort是一种开放源代码、免费、跨平台的网络入侵保护和检测系统，它使用了一种规则驱动的语言，支持各种形式的插件、扩充和定制，具有实时数据流量分析、对IP网络数据包进行日志记录、以及对入侵进行探测的功能。 虽然Snort的功能非常强大，但其代码非常简洁，可移植性非常好。迄今为止数百万的下载量使得Snort成为使用最为广泛的入侵保护和检测系统，并且成为了事实上的行业标准。 10.2.2 Snort的安装与运行 Snort是一种开放源代码的软件，可以从其主页下载源代码进行编译安装，目前最新的稳定版本是版。另外，在其主页的下载页面中还提供了For RHEL5的RPM软件包，其文件名是snort--1.RH5.i386.rpm。 除此之外，在/usr/sbin目录下还有一个名为snort的符号链接文件，要链接到/usr/sbin/snort-plain文件，以后执行snort命令时，实际上真正执行的是/usr/sbin/snort-plain文件。 10.2.3 Snort命令的格式 Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。Snort工作在嗅探器模式时相当于一个抓包软件，仅仅是从网络上读取数据包并连续不断地显示在终端上。工作在数据包记录器模式时，Snort把数据包记录到磁盘中。网络入侵检测模式是最复杂的，用户可以通过配置让Snort分析网络数据包，并与用户定义的一些规则进行匹配，然后根据检测结果采取一定的动作。Snort命令的格式如下： snort [-options] filter options 10.2.4 用Snort抓取数据包 除了使用Snort作为入侵检测工具外，Snort还具有强大的数据包抓取功能，可以作为数据包分析工具使用。在snort命令格式中，如果不使用“-c”选项指定规则文件，则Snort将简单地从网络抓取数据包，在屏幕上显示或保存到文件中。 10.3 配置Snort Snort最主要的功能是对入侵进行检测，其工作方式是对抓取的数据包进行分析后，与特定的规则模式进行匹配，如果能匹配，则认为发生了入侵事件。此时，执行snort命令时需要用“-c”选项指定入侵检测时所使用的配置文件。Snort默认安装时，已经在/etc/snort目录提供了一个例子配置文件，其文件名是snort.conf，本节主要以该文件的内容为中心，介绍一下Snort的配置方法。 10.3.1 定义Snort变量 /etc/snort/snort.conf文件是snort命令运行时的主配置文件，为了使用的方便，用户可以在其中定义许多变量，以便以后在其它位置进行引用。另外，Snort系