块是snort体系中两个重要的部分,预处理器在snort应用规则前处理.pdfVIP

块是Snort体系中两个重要的局

部,预处理器在Snort应用规那

么前处理

与处理器和输出模块是Snort体系中两个重要的

局部，预处理器在Snort应用规那么前处理接收

到的数据。输出模块输出Snort探测机制所产生

的数据。数据包通过Snort的流程图如图4-1所

示。被捕获的数据包首先经过预处理器，然后，

经过探测引擎根据规那么处理。根据规那么处理

的结果，输出处理器处理日志或者告警。

Snort允许你对预处理器和输出模块进行配置，

这些工作可以通过修改snort.conf来完成。在本

书中，输入插件和预处理器是同一概念，输出插

件和输出模块也是同一概念。本章将对这些组件

进行讨论。

4.1预处理器

当Snort接收到数据包的时候，主探测引擎并不

能对它们进行处理和应用规那么，比方，数据包

有可能是分片的，需要重新组装，预处理器就是

做这样的工作，使数据能够被探测引擎处理，另

外，一些预处理器还可以做一些其它工作，比方

探测包中的一些明显错误。下面给你介绍预处理

器如何工作。

在安装过程中，你可以在编译的时候选择对各种

预处理器的支持。各种预处理器的配置参数在

snort.conf中调整，你可以在通过这个文件翻开

或者关闭某个预处理器。

捕获的包要经过所有已经翻开的预处理器，不能