Snort檢視原始碼討論檢視歷史

Snort（檢測系統）原圖鏈接來自 京東商城;京東多媒體網 的圖片

Snort是1998年，Martin Roesch用C語言開發了開放源代碼(Open Source)的入侵檢測系統。直至今天，Snort已發展成為一個具有多平台(Multi-Platform)、實時(Real-Time)流量分析、網絡IP數據包(Pocket)記錄等特性的強大的網絡入侵檢測/防禦系統(Network Intrusion Detection/Prevention System)，即NIDS/NIPS。Snort符合通用公共許可(GPL——GNU General Pubic License)，在網上可以通過免費下載獲得Snort，並且只需要幾分鐘就可以安裝並開始使用。^[1]

簡介

Snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統。嗅探器模式僅僅是從網絡上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網絡入侵檢測模式是最複雜的，而且是可配置的。我們可以讓snort分析網絡數據流以匹配用戶定義的一些規則，並根據檢測結果採取一定的動作。

原理

Snort能夠對網絡上的數據包進行抓包分析，但區別於其它嗅探器的是，它能根據所定義的規則進行響應及處理。Snort 通過對獲取的數據包，進行各規則的分析後，根據規則鏈，可採取Activation（報警並啟動另外一個動態規則鏈）、Dynamic（由其它的規則包調用）、Alert（報警），Pass（忽略），Log（不報警但記錄網絡流量）五種響應的機制。

Snort有數據包嗅探，數據包分析，數據包檢測，響應處理等多種功能，每個模塊實現不同的功能，各模塊都是用插件的方式和Snort相結合，功能擴展方便。例如，預處理插件的功能就是在規則匹配誤用檢測之前運行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協議各字段，關閉連接，攻擊響應等功能，輸出插件將得理後的各種情況以日誌或警告的方式輸出。

工作過程

Snort通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包，抓包時需將網卡設置為混雜模式，根據操作系統的不同採用libpcap或winpcap函數從網絡中捕獲數據包；然後將捕獲的數據包送到包解碼器進行解碼。網絡中的數據包有可能是以太網包、令牌環包、TCP/IP包、802.11包等格式。在這一過程包解碼器將其解碼成Snort認識的統一的格式；之後就將數據包送到預處理器進行處理，預處理包括能分片的數據包進行重新組裝，處理一些明顯的錯誤等問題。預處理的過程主要是通過插件來完成，比如Http預處理器完成對Http請求解碼的規格化，Frag2事務處理器完成數據包的組裝，Stream4預處理器用來使Snort狀態化，端口掃描預處理器能檢測端口掃描的能力等；對數據包進行了解碼，過濾，預處理後，進入了Snort的最重要一環，進行規則的建立及根據規則進行檢測。規則檢測是Snort中最重要的部分，作用是檢測數據包中是否包含有入侵行為。例如規則alert tcp any any ->202.12.1.0/24 80（msg：」misc large tcp packet」；dsize：>3000；）這條規則的意思是，當一個流入202.12.1.0這個網段的TCP包長度超過3000B時就發出警報。規則語法涉及到協議的類型、內容、長度、報頭等各種要素。處理規則文件的時候，用三維鍊表來存規則信息以便和後面的數據包進行匹配，三維鍊表一旦構建好了，就通過某種方法查找三維鍊表並進行匹配和發生響應。規則檢測的處理能力需要根據規則的數量，運行Snort機器的性能，網絡負載等因素決定；最後一步就是輸出模塊，經過檢測後的數據包需要以各種形式將結果進行輸出，輸出形式可以是輸出到alert文件、其它日誌文件、數據庫UNIX域或Socket等。

部署

Snort的部署非常靈活，很多操作系統上都可以運行，可以運行在window xp，windows2003，linux等操作系統上。用戶在操作系統平台選擇上應考慮其安全性，穩定性，同時還要考慮與其它應用程序的協同工作的要求。如果入侵檢測系統本身都不穩定容易受到攻擊，就不能很好的去檢測其它安全攻擊漏洞了。在Linux與Windows操作系統相比較之下，Linux更加健壯，安全和穩定。Snort的運行，主要是通過各插件協同工作才使其功能強大，所以在部署時選擇合適的數據庫，Web服務器，圖形處理程序軟件及版本也非常重要。Snort部署時一般是由傳感器層、服務器層、管理員控制台層三層結構組成。傳感器層層就是一個網絡數據包的嗅探器層，收集網絡數據包交給服務器層進行處理，管理員控制台層則主要是顯示檢測分析結果。部署Snort時可根據企業網絡規模的大小，採用三層結構分別部署或採用三層結構集成在一台機器上進行部署，也可採用服務器層與控制台集成的兩層結構。

運行

Snort的有三種模式的運行方式：嗅探器模式，包記錄器模式，和網絡入侵檢測系統模式。嗅探器模式僅僅是從捕獲網絡數據包顯示在終端上，包記錄器模式則是把捕獲的數據包存儲到磁盤，入侵檢測模式則是最複雜的能對數據包進行分析、按規則進行檢測、做出響應。

不足

Snort入侵檢測系統適應多種平台，源代碼開放，使用免費，受眾多用戶喜愛，但也有不少缺點。Snort之所以說他是輕量型就是說他的功能還不夠完善，比如與其它產品產生聯動等方面還有待改進；Snort由各功能插件協同工作，安裝複雜，各軟件插件有時會因版本等問題影響程序運行；Snort對所有流量的數據根據規則進行匹配，有時會產生很多合法程序的誤報。

相關條目

Snort最重要的用途還是作為網絡入侵檢測系統(NIDS)。

使用簡介

Snort並非複雜難以操作的軟體。 Snort可以三個模式進行運作：

偵測模式（Sniffer Mode）：此模式下，Snort將在現有的網域內擷取封包，並顯示在熒幕上。

封包紀錄模式（packet logger mode）：此模式下，Snort將已擷取的封包存入儲存媒體中（如硬碟）。

上線模式（inline mode）：此模式下，Snort可對擷取到的封包做分析的動作，並根據一定的規則來判斷是否有網路攻擊行為的出現。

基本指令：偵測模式

若你想要在螢幕上顯示網路封包的標頭檔（header）內容，請使用

./snort -v

如果想要在螢幕上顯示正在傳輸的封包標頭檔內容，請使用

./snort -vd

如果除了以上顯示的內容之外，欲另外顯示數據鏈路層（Data link layer）的資料的話，請使用

./snort -vde

封包記錄

在記錄封包之前，您必須先指定一個目錄來儲存該資料。舉例而言，若您在您目前的目錄下建立了一個名為log的目錄，欲存紀錄資料於該目錄下的話，請使用

./snort -dev -l ./log

若想要以二進位碼（binary code）的方式來儲存封包資料的話，請使用

./snort -l ./log -b

若欲讀取某已儲存的封包記錄檔案（假設其檔名為packet.log），請使用

./snort -dvrpacket.log

若欲讀取該檔案中特定網路協定的資訊（假設是tcp協定），請使用

./snort -dvr packet.log tcp

入侵偵測

若欲使用入侵偵測模式，請使用

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

其中snort.conf是封包的簽章檔案

若不需要得知資料連結層的資訊，請使用

./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf

以下是Snort在入侵偵測模式的指令選項：

-A fast快速警告模式

-A full完整警告模式（預設）

-A unsock將警告訊息送至UNIX的socket上，供其他裝置檢視

-A none關閉警告功能

-A console將警告訊息送至終端機（Console）

視頻

Snort 相關視頻

參考文獻