第一章 系统架构总概.pdf

Snort 码分析 CopyRight(C) 2005 刘大林 1章 系统架构总概 1 1 初识Snort 我们之所以拿起这本书，可能是以前听说过 Snort 软件，或者是已经安装运 行过它。Snort 是一个功能强大，成熟稳定的开放源代码的网络入侵检测系统。 Marty Roesch 写Snort 的时候，起先的目的是写一个比APE 更好的数据包嗅 探器。1998 年12 月22 日，Snort 程序被放到了Packet Storm 网站上供下载。这 时，Snort 仅仅是一个1600 多行的小程序，程序包中只有两个文件。这个程序大 概花了Marty Roesch 一个月的时间，那时的Snort 仅仅用来做数据包嗅探。Marty Roesh Snort 来嗅探他的调制解调器上网时的连接和调试其他网络程序。 Snort 在 1999 年一月加入了基于特片分析的功能。这时Snort 开始向入侵检 测功能靠扰，被用作简单的IDS 。后来，经过多次的版本升级，Snort 逐渐发展 成一个成熟的入侵检测系统，特别是2.0 版本对系统构建做出了重大调整后，它 被越来越多的用户所应 ，也被越来越多的开 爱好者所喜爱，目前已经成为全 球最热的一个入侵检测开 项目之一，甚至被许多商业入侵检测开发者参考和利 。 1 2 Snort 的体系结构 在我们对Snort 的源代码进行分析之前，先了解一下它的体系结构是很有必 要的。Snort 是一个基于模式匹配的网络入侵检测系统，所谓模式匹配，是与状 态分析相对应的，它是指系统预先定义一些入侵的特征码，然后将实际数据 与 特征码相匹配，以判断检测其中是否包含了一个入侵行为。一个基于模式匹配的 入侵检测工作流程如下图所示： 1 Snort 码分析 CopyRight(C) 2005 刘大林 所以，一个基于模式匹配的网络入侵检测系统至少应 包含以下四个步骤： u 嗅探网络中的数据包 u 拆解数据包 u 调 检测引擎，进行数据包与规则的匹配 u 输出报警或日志信息 Snort 包含了这四个最基本的步骤，但又不仅限于这四个步骤，还包括： 1、系统初始化，包括： u 运行初期，需要进行一些标志变量的设置、分析配置文件等初始化配 置； u Snort 的用户界面是基于命令行而图形化的，所以需要分析用户输入 的命令行参数； 2 、初始化规则引擎 要进行规则的匹配，就需要把规则从文件读取到内存中，并进行合理地 分类； 3、构建规则快速匹配引擎 Snort 的老版本系统中，是没有规则快速匹配引擎这个概念的。从2.0 开 始，为了提高检测效率，缩短规则匹配的时间，将规则按一定的方式进 2 Snort 码分析 CopyRight(C) 2005 刘大林 行了二次分类； 4 、预处理引擎 这是 Snort 中的一个重要概念，有一些特殊的数据包，不能直接对其进 行匹配，如分片包就要先对其进行重组，否则它将绕过 Snort 的检测。 这些类似的工作在 Snort 中叫做预处理，需要在数据包进入检测引擎之 前被调 。 5、打开数据包截获接口 Snort 的数据包截获，采 的libpcap 库。在进行数据包截获之前，需要 进行查找网卡、设置过滤条件等工作； 6、插件初始化 Snort 中，预处理、输出、关键字检测都是以插件的形式存在的，在其被 调 之前，需要先进行初始化，比如判断 户在Snort.conf 中打开了哪些 插件以及配置每个插件的运行参数。 综上所述，Snort 的整个系统框架，可以 下图来表示