Snort 使用手册,第 2 部分:配置

最新推荐文章于 2019-01-01 23:12:19 发布
最新推荐文章于 2019-01-01 23:12:19 发布
阅读量1.1k 收藏
点赞数
分类专栏: Web开发 文章标签: preprocessor interface network initialization 网络 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ibmjournal/article/details/2680433
版权
Snort 是一款免费、开源的网络入侵防御系统(Network Intrusion Prevention System,NIPS)和网络入侵检测系统(Network Intrusion Detection System,NIDS)工具,可以检测入侵、防止外部攻击损害您的 Web 设计和应用程序编程。本系列的 第一篇文章 完成了 Snort 安装并使它可以检测包、日志通信量,做好了入侵检测的准备工作。在本文中,将了解这些包中的数据含义,以及如何使用这些数据判断是否发生攻击并向系统管理员发出警告。

在上一篇文章中,您了解到 Snort 是什么,以及如何在系统中安装并运行它。也看到了 Snort 如何执行三种关键的基本功能:

  • 包嗅探:Snort 可以针对它所在的机器监视进入和出去的包。它还可以监视它所运行的网络中大量正在传输的包。这是 Snort 最基本的功能,以包的形式检测和观察网络通信量是所有其他功能的基础。
  • 包记录:Snort 不仅可以实时监视包,还可以记录这些包。日志功能可以使您手动或自动处理这些包,并记录已发生的事件。不论是否正在清理旧包来检测入侵,或是 Snort 根据所记录的内容发出软件警告,包记录功能使 Snort 从一个实时工具转到一个可以以不同形式持久存储数据的工具。
  • 入侵检测:从很大程度上讲,入侵检测实际上就是结合了包嗅探和记录功能,并在其上添加一层自动智能层。一个入侵检测系统(即 IDS)具有一个包含网络状态信息的规则集,可以针对网络中可疑的状态进行监视并发出响应。

在本文中,我将越过基本的安装和配置知识,讨论如何 设置 Snort,以检测与 Web 相关的入侵。您将了解如何用最新的规则配置 Snort,并在后台监控服务器的行为。

注意:本文并非从系统管理员的角度考虑 Snort。与 Snort 相关的知识很多,它可以检测各种入侵,包括对 IRC 服务的攻击、与 Web 相关的问题,以及试图通过受保护端口访问机器的恶意代码。但是,本文实际上专门针对 Web 设计者和开发人员,为保护他们的具体项目和应用程序提出改进建议。有关 Snort 的更多参考资料,请参见 参考资料 中的各种链接。

使用 Snort 分析包

在上一篇文章中,我们简单了解了 Snort 的三个功能,并查看了一些包。例如,运行 snort -v 获得如清单 1 所示的输出。


清单 1. 使用 Snort 嗅探 
                
[bdm0509:~] sudo snort -v
Password:
Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
Verifying Preprocessor Configurations!
***
*** interface device lookup found: en0
***

Initializing Network Interface en0
Decoding Ethernet on interface en0

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.8.0.2 (Build 75)  
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html
           (C) Copyright 1998-2007 Sourcefire Inc., et al.
           Using PCRE version: 7.6 2008-01-28

Not Using PCAP_FRAMES
03/31-08:55:12.179192 192.168.1.102:64862 -> 239.255.255.253:427
UDP TTL:1 TOS:0x0 ID:10292 IpLen:20 DgmLen:64
Len: 36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:12.179498 192.168.1.102:64863 -> 239.255.255.253:427
UDP TTL:1 TOS:0x0 ID:10293 IpLen:20 DgmLen:64
Len: 36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:12.180121 192.168.1.102:64864 -> 239.255.255.253:427
UDP TTL:1 TOS:0x0 ID:10294 IpLen:20 DgmLen:64
Len: 36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:12.180278 192.168.1.102:64865 -> 239.255.255.253:427
UDP TTL:1 TOS:0x0 ID:10295 IpLen:20 DgmLen:64
Len: 36
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:12.247880 192.168.1.102:64866 -> 192.168.1.255:137
UDP TTL:64 TOS:0x0 ID:10296 IpLen:20 DgmLen:78
Len: 50
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:12.248297 192.168.1.103:137 -> 192.168.1.102:64866
UDP TTL:64 TOS:0x0 ID:8075 IpLen:20 DgmLen:90
Len: 62
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:12.599248 192.168.1.102:55381 -> 192.168.1.101:139
TCP TTL:64 TOS:0x0 ID:10297 IpLen:20 DgmLen:64 DF
******S* Seq: 0x42127B5E  Ack: 0x0  Win: 0xFFFF  TcpLen: 44
TCP Options (8) => MSS: 1460 NOP WS: 0 NOP NOP TS: 1428368232 0 
TCP Options => SackOK EOL 
...
LOTS more output here
...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:21.976018 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:64 TOS:0x0 ID:48134 IpLen:20 DgmLen:328
Len: 300
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:21.976800 ARP who-has 192.168.1.104 tell 192.168.1.1

03/31-08:55:22.968515 192.168.1.1:67 -> 255.255.255.255:68
UDP TTL:150 TOS:0x0 ID:6040 IpLen:20 DgmLen:576
Len: 548
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/31-08:55:22.977578 ARP who-has 192.168.1.104 tell 192.168.1.104

^C*** Caught Int-Signal
Run time prior to being shutdown was 14.231224 seconds
===============================================================================
Packet Wire Totals:
   Received:           78
   Analyzed:           78 (100.000%)
    Dropped:            0 (0.000%)
Outstanding:            0 (0.000%)
===============================================================================
Breakdown by protocol (includes rebuilt packets):
      ETH: 78         (100.000%)
  ETHdisc: 0          (0.000%)
     VLAN: 0          (0.000%)
     IPV6: 0          (0.000%)
  IP6 EXT: 0          (0.000%)
  IP6opts: 0          (0.000%)
  IP6disc: 0          (0.000%)
      IP4: 71         (91.026%)
  IP4disc: 0          (0.000%)
    TCP 6: 0          (0.000%)
    UDP 6: 0          (0.000%)
    ICMP6: 0          (0.000%)
  ICMP-IP: 0          (0.000%)
      TCP: 57         (73.077%)
      UDP: 14         (17.949%)
     ICMP: 0          (0.000%)
  TCPdisc: 0          (0.000%)
  UDPdisc: 0          (0.000%)
  ICMPdis: 0          (0.000%)
     FRAG: 0          (0.000%)
   FRAG 6: 0          (0.000%)
      ARP: 3          (3.846%)
    EAPOL: 0          (0.000%)
  ETHLOOP: 0          (0.000%)
      IPX: 0          (0.000%)
    OTHER: 4          (5.128%)
  DISCARD: 0          (0.000%)
InvChkSum: 0          (0.000%)
  Upconvt: 0          (0.000%)
  Up fail: 0          (0.000%)
   S5 G 1: 0          (0.000%)
   S5 G 2: 0          (0.000%)
    Total: 78        
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
Snort exiting

注意,您需要以根用户的身份运行或是使用 sudo,详细内容请查看上一篇文章。

当然,这里的难点是利用这些信息。可以进一步把这些信息分解为单个的包,如清单 2 所示(直接使用清单 1 的内容)。


清单 2. 清单 1 输出的单个包

本文转自IBM Developerworks中国

        请点击此处查看全文
ibmjournal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
思科安全IPS/IDS入侵防御系统
03-04
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。本课程介绍了思科IPS相关应用技术及IPS的详细配置方法,详细解说了IPS核心部分的各种ENGINE配置方法及用途。                                                         课件截图:
6. 使用UDP(用户数据报协议)
singhwong
06-14 329
为了演示UDP,创建两个控制台应用程序(包)项目,显示UDP的各种特性:直接将数据发送到主机,在本地网络上把数据广播到所有主机上,把数据多播到属于同一个组的节点上。 UdpSender和UdpReceiver项目使用以下名称空间: System System.Linq System.Net System.Net.Sockets System.Text System.Threading.Tasks 1.建立UDP接收器 ...
Snort***检测系统安装配置
weixin_33938733的博客
02-21 280
Snort***检测系统安装配置 snort有三种工作模式:嗅探器、数据包记录器、***检测系统。做嗅探器时,它只读取网络中传输的数据包,然后显示在控制台上。作数据包记录器时,它可以将数据包记录到硬盘上,已备分析之用。***检测模式功能强大,可通过配置实现,但稍显复杂,snort可以根据用户事先定义的一些规则分析网络数据流...
snort使用手册(linux)
03-26
-c 使用配置文件,这个规则文件是告诉系统什么样信息要LOG ; ; ; ; ; ; ; ;或者要报警或者通过 ; ; ; ;-C ; ; ; ;在信息包信息使用ASCII码来显示而不是hexdump ; ; ; ;-d ; ; ; ;解码应用层 ; ; ; ;-D ; ; ; ;把snort...
snort配置与使用
01-25
Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort的规则 使用Snort构建入侵检测系统实例
snort中文手册
03-17
snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式 仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器 模 式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且...
Snort-Default-Windows-Configuration:旋转Snort的默认配置
05-11
指示安装Snort 2: 安装WinPCap: 下载并替换位于C:\ Snore \ etc \路径中的配置文件: 您可以从这里获得一些不错的社区规则: 以管理员身份启动终端,然后键入: cd C:\Snort\bin 使用以下命令确定您的界面:snort...
Snort 用户手册(入侵检测技术)
05-12
Snort 用户手册(入侵检测技术)
搭建IDS的前端工具barnyard2
10-02
搭建IDS的前端工具barnyard2,使用acid+snort+mysql+php+apache时会用到它,解决mysql数据表搭建问题
snort 笔记1 ----- 3种模式简介
云里雾里的专栏
04-18 1万+
Snort操作:1 配置文件位置:/etc/snort2 运行:./usr/sbin/snort 需要root权限3 开机自启动关闭:http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx如snort的2,3,4,5级默认开启,通过chkconfig –-level 2345 snort off.就可将其关闭。(chkconfig操作见:http://blog.csdn.net/jo_say/archive/2011/04/18
Snort安装与配置
xumesang的专栏
05-24 8345
获得 Snort 现在,您已经获得了 Snort?首先使用 Web 浏览器访问 Snort 的 Web 站点(参见 参考资料)。左侧有一个很显眼的 “GET SNORT” 链接,就在那只大鼻子猪的下方。(严格来说,Snort 的徽标就是一头大鼻子粉红色小猪,似乎在喷鼻息)。在本文撰写之时,最新的可付诸生产的版本是 2.8。本文的所有内容都同样适用于 Snort 的 2.x 版本,只需进行
Snort规则分析举例
weixin_34362991的博客
09-11 905
*Snort规则分析举例 Snort一种开源*检测系统,当他作为NIDS模式运行时,可以分析网络传输的数据包,当它发现可以流量时就会根据事先定义好的规则发出报警,有关这些规则的介绍网上可以轻松找到,可对于具体规则分析却不多。下面分析了几个典型可疑流量报警规则。 .1.可疑流量的报警 假设一个场景:在内网中,你用Snort监控的VLAN中的若干网络交换机,并通过Telnet来管理它们。在这种情况下下...
在kali2虚拟机上第一次成功运行snort和barnyard2
公众号shadow sock7
04-28 4297
参考: http://sublimerobots.com/2017/01/snort-2-9-9-x-ubuntu-installing-snort/ (2017新版) http://sublimerobots.com/2015/12/snort-2-9-8-x-on-ubuntu-part-1/ (2015旧版) ➜ barnyard2-master /usr/loca
snort 轻量级入侵检测系统安装与使用
热门推荐
我回来了,就要有回来的意义
03-22 2万+
snort 是一个开源的轻量级入侵检测系统(NIDS),使用C语言编写。支持windows、linux平台,我比较喜欢linux操作系统,所以在linux上学习研究snortsnort有三种工作模式,包括:嗅探、记录数据包、入侵检测。但是,可以把snort配置成入侵防御的模式,过程算是复杂。作为一个轻量级的入侵检测系统,snort功能算是单一,配置复杂,有利于入侵检测系统源码研究与规则编写。snort规则动作有五种,常用为报警、忽略、记录等,详细的后面简说明。
Snort 2.9.12.0 全安装流程最详细最新
小明的小书包Ya
01-01 1万+
简介 因为学校实验需要安装snort并检测攻击行为,又没有很好的博客进行参考安装配置,于是写了这篇博客用于记录 本环境下所有压缩安装包在链接: https://pan.baidu.com/s/15fUPTkCHYGJBJT3zur9Wjw 提取码: rrw2,链接长期有效 操作系统:ubuntu 18.04LTS 环境:在进行下一步的操作前,如果你的机器没有更换源请先按照第一步来配置,如果源更新过...
snort中使用sudo snort -V sudo: snort: command not found
最新发布
09-19
snort中使用`sudo snort -V`命令时出现"sudo: snort: command not found"错误的原因是snort命令可能没有安装或者系统路径中没有配置正确。 要解决这个问题,您可以尝试以下步骤: 1. 确保已经安装了snort。您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值