最近在研究SNORT,在这里做一下记录,以免这该死的脑壳,老是忘东忘西的!
首先,是对SNORT的简单的介绍。
snort是一种入侵检测的工具,他公开源代码,你可以根据他的源代码进行二次开发, Snort是一个开放源代码的网络入侵监测系统,其主要功能是实时记录和分析IP网络中的数据流。通过对协议的分析、数据包内容的搜索和匹配,它能被用于监测许多攻击和扫描,如缓冲区溢出、端口隐蔽扫描、CGI攻击、SMB探测、操作系统识别探测等等。除了实时的报警外,snort的报警机制还包括发送日志给syslog、写入用户指定的文件、写入一个Unix Socket,或通过smbclient发送WinPopup消息。
最新的稳定发布版还包括了状态检测和TCP流重组模块,高性能的IP分片模块和统一的二进制输出模块,,触发事件的主机会被跟踪和记录,Snort的规则标识号和新的打印输出代码使得其输出更加简单,分类和优先级也被加入到规则语言中,检测ARP欺骗,新的telnet标准化插件可抵御telnet和ftp的许多攻击,另一个RPC标准化插件则可抵御RPC分片攻击。
安装完SNORT后,在命令行运行,有如下结果: