Snort的配置与使用

第6章Snort的配置和使用、入侵检测技术、本章的内容、Snort的设置和配置Snort的整体结构分析使用规则使用Snort的入侵检测系统的构筑例、6.1Snort的设置和配置、3、1、Snort的介绍、 Snort是用c语言编写的开源软件Snort是跨平台的轻量级网络入侵软件，基于libpcap的数据包嗅探器和日志记录工具Snort采用基于规则的网络信息检索机制，数据包martinroeschsnortteamsnort2.9.7. 6、1.snort的包解码器检测引擎日志和警报子系统、2.Snort的动作模式(3种)嗅探包记录器网络入侵检测系统、4.Snort的动作模式(3种) ./snortv./snortVD./snortvde包记录器包记录器模式将包记录在硬盘上。/snortdevl./log和网络入侵检测系统网络入侵检测模式是最复杂和可配置的。 Snort可以分析网络数据流以符合用户定义的规则，并根据发现的结果执行某些操作。/snotdevl./logsnort.conf，二、下载snort软件下载snort入侵检测的核心部分下载winpcap或libpcaphttp:/winpcap.polito.it/下载网络包侦听驱动程序以从网卡捕获包支持软件： analysisconnelforintusiondatabases (acid ) 基于PHP的入侵检测数据库分析控制台adodb (adodbdatabaseabstractionlibrary ) adodb库包括： PHP统一的数据库连接函数提供ApacheWindows版本的ApacheWeb服务器JpgraphPHP所使用的图形库MysqlWindows版本的Mysql数据库，并提供snrot日志、警报、 在PHPWindows上支持PHP脚本以存储权限等信息，在Windows环境下安装Snort， ACID snort入侵检测系统构建apache PHP操作环境2 .安装snort和Winpcap3 .安装MySQL4.安装adodb5.安装jpgraph6.安装和配置6.acidc :MySQLbin MySQLurootp (MySQL ) createdatabasenorth； (MySQL ) quit (c :MySQLbin ) MySQLds snorturootp ) grantusageon *.* to acid loacalhostidentifiiedby“acid wwd”(MySQL ) grantselect，int Mysql命令：显示数据库列表：显示数据库中的数据表： usesqly； showtables； 创建和删除库： create数据库库名称drop数据库库名称，在apache安装目录的htdocsACID目录中修改acid部署acidhtdocsacid下的acid_conf.php文件$DBtype=”mysql ； $alert_dbname=snort ； $alert_host=localhost ； $alert_port=3306 ； $alert_user=acid ； $alert_password=acidpwd ；/* archiveedbyconnectionparameters */$ archive _ dbname= snort _ archive ； $archive_host=localhost ； $archive_port=3306 ； $archive_user=acid ； $archive_password=acidpwd ； $ chart lib _ path=”c :PHPjpgraphsrc”、:50080/acid/acid _ db _ setup.PHP、设置并启动snort，然后启动C:snortetc 打开snort.conf文件修改文件中的以下文件： includeclassification.configcluderefferencee.config:includec :snortetcclass fication.config 目的：在数据库中记录日志outputdatabase:alert，MySQL host=localhost user=snortpwddbname=snort encoding=hex detail=full，进入以下命令行方式snortbin snortc“c :snortetcsnort.conf”l“c :snortlog”dexx参数：在数据链路层中记录原始包数据时d参数：记录应用层数据e参数：显示/记录第二层头数据57348； c参数：指定snort配置文件的路径57348； I参数指定要监视的网络适配器的编号。 以上命令启动snort，snort正常运行时，系统最后如下图所示，配置snort.conf文件并设置网络相关变量57348； 配置预处理器57348； 配置输出插件57348； 自定义snoort规则集。 设置网络相关变量Snort.conf的主要环境变量是、 varHOME_NETany本地网络varEXTERNAL_NETany外地网络var DNS _ server $ home _ netvarhttp _ server $ home _ netvarsql _ server $ home _ netvartelnet _本地网络在mp_server$home_net，var http _ port s80 var Oracle _ ports 1521 var rule _ path ./rules本地规则路径中，预配置处理器通常是在基于规则的模式匹配之前执行的模块例如，IP片段重组(frag2)、TCP流重组(stream4)、各种应用层解码等。 根据需要进行部署，通常采用默认值并部署输出插件，主要在消息符合某个规则并要求输出时调用对应的输出插件。 按照snort.conf中的说明进行配置。 示例： output数据库：日志，mysql，用户=westoffoxdbname=检测器主机=localhostpasswordpassword=t 123端口=1234输出数据库3360警告mysql host=localhost用户=snorttestdbname=snort encoding=hex detail=full，自定义snort规则集#include$rule_path/local.rules， 6.2Snort整体结构分析Snort模块结构插件机制Snort整体流入侵检测流、Snort分析、32、1、Snort整体结构分析、Snort模块结构及其相互关系、2、Snort插件机制、 优点扩展性的强化代码化将代码功能结束，在模块行强、程序比较容易读取的插件模块中包含预处理插件、处理插件、输出插件这3种，通常与规则中的一个或多个关键字对应，在规则匹配中1 .预处理插件的源文件名以spp_开始，在规则匹配(滥用检查)之前执行，完成的功能主要分类如下： 模拟TCP/IP堆栈功能的插件：重组IP片段、重组TCP流插件。 各种解码插件，包括HTTP解码插件、Unicode解码插件、RPC解码插件和Telnet协商插件。规则匹配无法检测攻击时使用的检测插件：端口扫描插件、Spade异常入侵检测插件、Bo检测插件、Arp欺骗检测插件等。 2 .处理插件的所有源文件名都以sp_开头，并在规则匹配阶段的ParseRuleOptions中调用，以帮助完成基于规则的匹配过程。 每个规则处理程序通常实现关键字的说明或补充说明，这些关键字与规则选项的关键字相对应。 这些插件的主要功能包括： 协议的每个字段的检查包括TCP标志，IcmpId类型，IcmpId代码，Ttl，IpId，TcpAck，TcpSeq，Dsize，IP选项，Rpc，IcmpId，IcmpSeq，IpTos，fragment，TcpWin，IP 这些插件分别具有若干辅助功能，如响应(关闭连接)、重要性等级、模式匹配(内容)、会话记录和攻击响应(高级别) 3 .输出插件的源文件名以spo_开头，这些插件分为日志和警告两种类型并列在两个列表中，在规则匹配和匹配完成后调用以记录日志和警告。 以HTTP解码处理器插件为例，说明插件的内部结构。 每个插件都有一个名为SetupXXX ()的安装函数。 spp _ http _ decode.c:setphttpdecode ()等等。 如果在解释规则文件时检测到关键字，则规则文件中关键字后面的字符串将用作参数，并调用相应的初始化函数。 在检验过程中，如果规则匹配成功，则会触发处理函数的执行，预处理器在预处理过程中处理与数据报告调用对应的处理函数。第三、第四、入侵检测流、规则分析流、入侵检测流规则分析流、非规则存储器表示逻辑图，入侵检测流规则匹配流、非规则匹配检测流6.3使用Snort、Snort命令行的高性能排列方式；Snort命令行、Snort命令参数和行为c: Snortoptions的主要snort参数说明-A设定的模式是full、fast还是none。full模式会将标准的alert模式记录在alert档案中。fast模式为时戳、messages、IPs、ports -a显示ARP包。 -b以TCPDUMP格式记录LOG数据包，以二进制格式记录所有数据包。 此选项适用于fast录制模式。 因为不需要花费时间将数据包中的信息转换为文本。 Snort最好在100Mbps网络中使用“b”。 使用-c配置文件。 此规则文件指定在系统中记录、警告或通过哪些信息。 -C包信息以ASCII代码而不是hexdump显示。 -d解码应用层-d使Snort充当守护程序，默认情况下将alert记录发送到/var/log/snort.alert文件。 -显示e第2层(数据链路层)的标题信息。 从-F文件导入“过滤器”(filters )。 其中filters是标准的BPF格式过滤器。 设置网络地址，如-h类c的IP地址。 使用此选项可以限制数据的进出方向。 -i使用网络接口参数。 57348； -l:log包记录在目录中。 -将-m:winpopup信息发送到包含文件中的工作站列表。 此选项需要Samba支持，wkstn文件很简单，只需在每一行中添加SMB中包含的主机名(请注意，不需要两个斜线)。 指定在处理-n包后退出。 - n :关闭日志记录，但警报功能正常。 -o修改采用的日志文件。 通常采用AlertPassLog，但是该选项按照PassAlertLog的顺序。 Pass是允许通过的规则，不做记录或警告。 ALERT是不允许通过的规则，LOG指的是日志记录。 -p关闭杂乱模式的嗅探方式，通常用于更安全的调试网络。读取tcpdump方法生成的文件，获取阴影ids生成的文件。 因为通常的EDIT无法编辑显示。 -sLOG:报警记录在syslog中，在LINUX计算机上显示在/var/log/secure中，在其他平台上显示在/var/log/message中。 设置-s变量的值。 使用它可以在命令行中定义snoortrules文件中的变量。 要在snoortrules文件中定义变量HOME_NET，请在命令行中指定预定义的值。-v使用verbose模式在控制台上打印包。 启用此选项会减慢速度，结果记录较多时会发生丢包。 显示SNORT版本并退出。 -什么？ 显示帮助信息。 - wlistsavailableinterfaces.(win32 only )以上的许多参数可以组合使用。 Snort入侵检测实例1 .使在命令行中检测到的IP/TCP/UDP/ICMP数据能够快速进行嗅探。 e； 需要在命令行中显示数据头信息时可用： c:snort-v-i2； 命令行包含、 打印以下数据：=铮铮铮653 09-1531533600153635353535253525352535253525353535353535353535353535353535353535353535353535353535353535353535353535