Snort总结-系统结构

最新推荐文章于 2023-06-20 16:31:36 发布
最新推荐文章于 2023-06-20 16:31:36 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: # IDS--入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ftxc_blog/article/details/12565765
版权

Snort总结-系统结构


1)      主控模块实现的功能包括所有模块的初始化、命令行参数解释、配置文件解释、数据包捕获库Libpcap的初始化,然后调用Libpcap开始捕获数据包,初始化插件链表,初始化预处理插件,读入规则,形成规则匹配数据结构,规则快速匹配数据结构和输出数据结构。
2)      解码模块把从网络上抓取的原始数据,从下向上沿各个协议进行解码并填相应的数据结构,以便规则处理模块处理。
3)      预处理模块在处理模块之前进行,在对报文进行模式匹配之前,先进行分片重组、流重组和异常检查等预处理操作。
4)      处理模块实现对这些报文进行基于规则的模式匹配工作,检测出入侵行为;在初始化阶段它还负责完成规则文件的解释和规则语法树的构建工作。处理模块主要检查数据包的各个方面,包括数据包的大小、协议类型、IP/ICMP/TCP/UDP的选项等,辅助规则匹配完成检测功能。
5)      输出模块实现在检测到攻击后执行各种输出和反应的功能。
6)      日志模块实现各种报文日志功能,也就是把各种类型的报文记录到各种类型的日志中。
7)      在系统运行的过程中,还使用一些辅助模块;树结构定义子模块定义了几种Snort使用的二叉树结构和相关的处理函数,uag处理子模块完成了和mg相关的功能,另外一些子模块也提供了一些公用的函数,如字符串处理等。

非同_寻常
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort体系结构
02-17
snort图文框架,让人更加进一步理解入侵检测系统代码实现原理框架图形
Snort入侵检测系统简介
VN520的博客
04-12 2475
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。
snort 源码分析之规则结构分析(一)
guoguangwu的专栏
03-10 3256
snort中比较复杂的结构很多,今天和大家分享一下snort的规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
Snort分析
starshift的专栏
12-19 3661
Snort分析 Snort的程序架构       Snort 由几大软件模块组成,这些软件模块采用插件方式与Snort 结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等。Snort程序的基本框架如下图所示:   图1  Snort程序的框架图Snort的源代码结构snort 源代码主要由以下几个主要部分构成: snort. c snor
Snort之架构框架(一)
工作、生活
06-01 2781
<br /> <br />snort有很多运行模式<br />如:<br /> <br />#define MODE_PACKET_DUMP    1<br />#define MODE_PACKET_LOG     2<br />#define MODE_IDS            3<br />#define MODE_TEST           4<br />#define MODE_RULE_DUMP      5<br />#define MODE_VERSION        6<br />
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重新降回了5分
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
入侵检测系统Snort v3规则文件,Talos Rules 2022-12-08
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷...
Snort-Default-Windows-Configuration:旋转Snort的默认配置
05-11
Snort默认Windows配置描述默认情况下,Windows上的Snort附带Linux路径,不同的库名称和相对较差的默认配置。 此配置可立即启动并运行Snort 2(2.9)。 如果您的路径不同,本指南假定Snort已安装或将安装在C:\ Snort...
snort:工作流程及结构解析
无名J0kзr的博客
03-28 2239
文章目录参考文章CentOS 7下安装snort1. 安装mwget(可省略)2. 安装依赖3. 下载LuaJIT、daq、snort4. 安装LuaJIT、daq、snortLuaJITdaqsnort安装完成 参考文章 入侵检测系统详解(IDS) IDS入侵检测系统(snort)刚出炉滴 CentOS 7下安装snort CentOS 7下安装snort 1. 安装mwget(可省略) 为了提...
snort程序主函数结构
09-08
snort程序主函数结构图、visio绘制,可能有部分函数描述错误,敬请谅解,系统版本不一致可能导致部分函数变化较大,本结构图只做参考
Snort规则检测引擎--架构解析
网络安全研究
08-24 1909
规则头和规则选项 snort将所有已知的攻击以规则的形式放在规则库中,规则库中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。 规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。 规则选项包含:报警信息和异常包的信息 (特征码) 这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...
snort 源码分析之基础数据结构 链表
guoguangwu的专栏
03-13 491
前面的很多里面涉及到snort的基础数据结构snort里面很多数据结构都是自己实现的比如今天要讲解的链表,后面要讲的哈希表的实现。 具体文件 sflsq.h|c 链表的数据结构定义 typedef void * NODE_DATA; /* * 节点定义, 队列、栈、链表(双向) */ typedef struct sf_lnode { struct sf_lnode...
snort:Packet结构体详解(留坑)
无名J0kзr的博客
04-23 1311
文章目录杂参考Packet源码1. EtherARP *ah1.1 ARPHdr ea_hdr1.2 uint8_t arp_sha[6]1.3 uint8_t arp_spa[4]1.4 uint8_t arp_tha[6]1.5 uint8_t arp_tpa[4]2. EtherHdr *eh2.1 uint8_t ether_dst[6]2.2 uint8_t ether_src[6]2....
snort和sniffer技术原理
ryanzzzzz的博客
06-20 971
WinPcap可以使用在Windows 98、ME、2000、XP、Server 2003、Vista、Server 2008、Windows 7和Windows 8上,它支持多种网络协议和数据包格式,如Ethernet,IP,TCP,UDP,ICMP等。它拥有用户友好的图形用户界面,可以实时捕捉和绘制网络数据包的流动,同时还提供了深度网络和应用层协议解码、流量探测和过滤,以及多种分析工具等功能。,可以对网络流量进行审计,并生成具体的日志记录,从而帮助管理员或安全专员了解网络的使用情况和安全状况。
Snort总结-程序结构
非同╰_╯寻常
10-10 3209
阅读源代码后绘制,大致描述系统的主要函数调用情况图,原图visio绘制,需要可以联系。 逻辑结构图     规则处理模块 rules.h定义了生成二维规则链表的各种类型变量的数据结构。 parser.c(h)规则解析。 detect.c(h)处理规则部信息,构造规则链表。 pcrm.c(h)构造快速匹配的规则链表的辅助函数。 fpcreate.c(h)构造快速匹配的规则链表。 fpdetec
Snort的工作原理
热门推荐
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
Snort 入侵检测系统简介
潜心习安全
12-10 2860
0x00 snort 简介 在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Preventi...
snort -dev -l /var/log/snort -h 192.168.252.139 -c /etc/snort/snort.conf
最新发布
08-23
您好!对于您的问题,您正在使用 snort 命令启动 Intrusion Detection System(入侵检测系统)。这是一个网络安全工具,用于监视和分析网络流量以检测潜在的入侵行为。 参数解释如下: - `-dev`:将 snort 设置为开发模式,用于调试目的。 - `-l /var/log/snort`:指定日志文件的输出目录为 `/var/log/snort`。 - `-h 192.168.252.139`:指定要监听的网络接口的 IP 地址为 `192.168.252.139`。 - `-c /etc/snort/snort.conf`:指定 snort 的配置文件路径为 `/etc/snort/snort.conf`。 这条命令将启动 snort 并开始监听指定的网络接口,所有检测到的事件将被记录到 `/var/log/snort` 目录下的日志文件中。 请注意,使用 snort 需要适当配置和调整,以便对您的网络环境进行有效的入侵检测。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值