第10章--Snort入侵检测系统概要.ppt

1、第十章Snort入侵检测系统，入侵检测系统已经在安全市场上成为新的热点牙齿，越来越受到人们的关注，并且已经开始在各种不同的环境中发挥关键作用。牙齿章节说明入侵检测的基本概念、安装和使用Snort、配置Snort、创建Snort规则等。10.1入侵检测简介，传统上，企业网络一般将防火墙作为安全的第一道防线，但攻击工具和手法越来越复杂，简单的防火墙政策已不能满足网络安全需求。网络防卫要使用纵深、多种手段。入侵检测系统是继防火墙后保护网络安全的第二条防线，可以在网络攻击时发出警报或采取一定的干涉措施，以确保网络的安全。牙齿部分主要介绍网络安全基本知识、网络攻击类型、入侵检测系统配置和工作原理等。10

2、.1.1网络安全，网络安全应保护提供网络服务的整个系统的硬件、软件和数据，并防止因偶尔或恶意原因而接收破坏、更改、泄漏或中断服务，以确保系统连续、稳定和正常运行。网络安全是计算机科学、应用数学、信息论、密码技术、网络技术、通信技术和信息安全技术等多种学科的综合学科。在不同的应用节目和环境下，网络安全会授予不同的内容。10.1.2常见的网络攻击类型，预防网络攻击是网络安全保障的重要内容，黑客的网络攻击手法多种多样，但都是固定的。具体来说，黑客常用的攻击手法有以下几种。1漏洞扫描2密码分析3DoS和DDoS攻击4缓冲区溢出5系统后门和特洛伊木马节目、10.1.3入侵检测系统、入侵检测系统、网络基础

3、、基于主机和分布式三个茄子类别。图10-1显示了典型的入侵检测系统结构模型。10.2 Snort安装和使用，Snort是Linux平台上最常用的GNU GPL兼容入侵检测系统，也是一个非常好的数据包捕获工具。牙齿部分介绍Snort的功能特性，获取、安装和运行Snort软件，Snort命令的格式，以及如何将Snort用作捕获程序包工具。10.2.1 Snort简介、Snort是开放源代码、免费、跨平台网络入侵保护和检测系统，它使用基于规则的语言，支持多种形式的插件、扩展和自定义、实时数据流量分析、IP网络包日志记录和入侵检测，虽然Snort的功能非常强大，但代码非常简洁，可移植性非常好。到目前为

4、止，数百万次下载使Snort成为使用最广泛的入侵保护和检测系统，实际上充当了行业标准。安装并运行10.2.2 Snort，Snort可以源代码下载主页以进行开源软件、编译和安装。最新稳定版本为版。用于For RHEL5的RPM软件包也在主页的下载页面上提供。档案名称为snort--1。RH5.i386.rpm。/usr/sbin目录中还有一个名为snort的符号链接文件，该文件将链接到/usr/sbin/snort-plain文件。以后运行snort命令时，实际运行的是/usr/。10.2.3 Snort命令格式，Snort有三

5、种茄子操作模式：嗅探器、数据包记录器和网络入侵检测系统。Snort在sniffer模式下运行时相当于数据包软件捕获，它只是在网络上读取数据包，并持续向终端显示。(威廉莎士比亚、嗅探器、嗅探器、嗅探器、嗅探器、嗅探器、嗅探器、嗅探器、嗅探器、嗅探器)在数据包记录器模式下工作时，Snort将数据包写入磁盘。网络入侵检测模式最复杂。用户可以配置Snort以分析网络数据包，与用户定义的规则匹配，然后根据搜索结果采取特定措施。除了使用Snort -options、10.2.4 Snort捕获数据包的格式以及使用Snort作为入侵检测工具外，Snort还具有强大的数据包捕获功能，可用作数据包分析工具。如果

6、未在Snort命令格式中使用“-c”选项指定规则文件，snort将仅捕获网络数据包并将其显示在屏幕上或保存到文件中。10.3 snort配置，snort最重要的功能是检测入侵。牙齿功能分析捕获的数据包，然后以与特定规则模式匹配的方式工作，如果匹配，则认为发生了入侵事件。在牙齿点运行snort命令时，必须使用“-c”选项指定用于入侵检测的配置文件。Snort默认安装在名为Snort.conf的/etc/snort目录中提供了示例文件。牙齿部分主要围绕牙齿文件的内容介绍如何配置snort。10.3.1 Snort变量定义，/etc/snort/snort.conf文件是运行Snort命令的主配置文

7、件，为了方便使用，可以定义多个变量以便以后在其他位置引用。Snort系统本身还使用特定名称的变量，用户指定的值将影响Snort的操作状态。变量值通常为文件系统路径、IP地址、通信端口编号等。配置10.3.2 Snort选项，在发出Snort命令时指定命令行选项，以使Snort处于其他状态。实际上，可以在snort.conf文件中配置许多命令行选项，因此不需要在snort命令行中中指设置。除命令行选项外，还可以在snort.conf文件中指定一些茄子的其他选项，这些选项在命令行中不可用。Snort选项配置格式如下：config :10.3.3 Snort字典处理模块配置、从Snort 1.5版开

8、始引入的字典处理程序，使用户和程序员都可以轻松地将模块化插件集成到Snort中，从而扩展Snort功能。预处理程序代码在包解码后、调用入侵检测引擎之前运行，因此可以通过附加方法分析或修改包。1Frag3模块2HTTP Inspect模块3SMTP解码器、10.3.4配置Snort输出插件、输出插件配置Snort从Snort的警报和日志模块调用，以提供字典处理和入侵检测引擎生成的数据输出。每个输出模块插件连接到事件，在事件发生时按顺序调用。10.3.5 Snort规则档案配置，Snort程序包本身不提供规则，如有必要，可以从Snort主页下载。Snort网站徐璐为三个不同的用户提供不同的规则更新

9、服务。要获取Snort规则，必须在网站中注册用户帐户，选择主页上的Rules和VRT Rules链接，然后找到页面中间为注册用户提供的2.8版规则集，单击下载Download链接。下载的档案大约为66M，文件名为snortrules-snapshot-2.8.tar。10.4编写前面介绍的Snort规则，以获取、配置和使用各种组织或供应商提供的Snort规则。有时，用户希望能够编写自己的Snort规则，以应对最新的入侵。以下说明了如何创建Snort规则。基于10.4.1 Snort规则，Snort使用灵活、强大的简单轻量规则描述语言。Snort规则包含两个

10、逻辑部分：规则标头和规则选项。编写Snort规则时，所有内容必须位于一行中，如果需要分成多行，则必须在行末附加分隔符“”。您还可以在规则中使用snort.conf文件中定义的变量。最常用的变量是HOME_NET和EXTERNAL_NET，它们分别表示本地子网和其他网络段。10.4.2 Snort规则标头，规则标头定义包的who、where和what信息，以及当包满足规则中定义的所有选项的值时对包采取的操作。规则标头中紧接规则动作之后的领域是协定类型。Snort目前可以分析四种协议类型：TCP、UDP、ICMP和IP。它已经包含了互联网上最重要的协议。以下域是IP地址：除了单个IP地址外，还可以使用由IP地址和CIDR块组成的IP地址段。10.4.3 Snort规则选项，Snort的规则选项是入侵检测引擎的核心，所有入侵行为都可以通过Snort规则选项表示，非常灵活。所有snort规则选项和选项值都被“:”