Snort简介 MSE安全攻防培训资料.pptVIP

Snort简介 wangdayong@263.net Snort是一个强大的轻量级的网络入侵检测系统 它具有实时数据流量分析和日志Ip网络数据包的能力，能够进行协议分析，对内容搜索/匹配 Snort具有很好的扩展性和可移植性 遵循公用许可GPL，所以只要遵守GPL任何组织和个人都可以自由使用 可对其进行二次开发，用于内容监控等应用 特点1 Snort虽然功能强大，但是其代码极为简洁，短小，其源代码压缩包只有200KB不到 Snort可移植性非常好。Snort的跨平台性能极佳，目前已经支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等 特点2 Snort具有实时流量分析和日志Ip网数据包的能力。能够快速地检测网络活动，及时地发出报告 Snort的警报机制很丰富。例如：Syslog,用户指定文件，UnixSocket，还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件，Snort可以使用SNML(简单网络标记语言.simple network markup language)把日志存放在一个文件或者适时警报 特点3 Snort能够进行协议分析，内容的搜索/匹配 现在Snort能够分析的协议有TCP,UDP和ICMP 将来的版本，将提供对ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持 特点4 Snort的日至格式既可以是Tcpdump的二进制格式，也可以编码成ASCII字符形式，更便于拥护尤其是新手检查，使用数据库输出插件，Snort可以把日志记入数据库 当前支持的数据库包括:Postagresql,MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库 特点5 使用TCP流插件（TCPSTREAM），Snort可以对TCP包进行重组 Snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有一个字节的数据包，完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据，将其发送给目标端口上监听的进程，从而使攻击包逃过Snort的监视 使用TCP流插件，可以对TCP包进行缓冲，然后进行匹配，使Snort具备对付上面攻击的能力 特点6 使用Spade(Statistical Packet Anomaly Detection Engine)插件，Snort能够报告非正常的包，从而对端口扫描进行有效的检测 特点7 Snort还有很强的系统防护能力 如:使用其IPTables,IPFilter插件可以使入侵检测主机与防火墙联动，通过FlexResp功能，Snort能够命令防火墙主动短开恶意连接 特点8 扩展性能较好，对于新的攻击威胁反应迅速 作为一个轻量级的网络入侵检测系统，Snort有足够的扩展能力。它使用一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言) 最基本的规则知识包含四个域：处理动作，协议，方向，端口。例如 Log Tcp Any any - /24 80(谁都看得明白) 特点9 Snort支持插件，可以使用具有特定功能的报告，检测子系统插件对其功能进行扩展 Snort当前支持的插件包括:数据库日志输出插件，破碎数据包检测插件，端口扫描检测插件，HTTP URI插件，XML网页生成等插件 特点10 Snort的规则语言非常简单，能够对新的网络攻击做出很快的反应 发现新攻击后，可以很快地根据Bugtrag邮件列表，找到特征码，写出新的规则文件 几个重要的数据结构 Snort系统中最重要的全局数据结构就是Packet结构，Packet数据结构控制着整个系统正常工作的关键信息。所以，该数据结构在代码中出现的频率最高。Packet数据结构如下(代码太长，截取部分)：Typedef struct_Packet{struct pcap_pkthdr pkth; /*BPF data*/u_int8_t *pkt; /*base pointer to the raw packet data*/Fddi_hdr fddihdr; /*FDDI support headers*/…………} 预处理模块 预处理模块的作用是对当前截获的数据包进行预先处理，以便后续处理模块对数据包的处理操作 数据包分片重组及数据流重组 协议编码 协议异常检测 数据包分片重组及数据流重组 在正常情况下，数据包在网络上由于最大数据传输单元可能有限制MTU及网络延迟等问题，路由器会对数据包进行分片处理 但是恶意攻击者也会故意发送经过软件加工过的数据