Snort是一款轻量级的网络入侵检测系统,具备实时流量分析、日志记录、协议解析、内容匹配等功能,能检测多种攻击并发出警报。Snort具有高度的可移植性,支持多种操作系统,并且通过插件可以扩展其功能,如数据库日志输出、TCP流重组等。此外,Snort还支持协议分析和内容搜索匹配,能够有效检测缓冲区溢出、CGI攻击等。其规则语言简单,能够快速响应新威胁。
Snort入侵检测系统分析
作者:浩海孤帆@bbs.net130.com
Snort的特点
Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以自由使用。
Snort是一个轻量级的入侵检测系统。
1.Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩包只有200KB不到。Snort可移植性非常好。Snort的跨平台性能极佳,目前已经支持Linux系列, Solaris,BSD系列,IRIX,HP-UX,Windows系列,ScoOpenserver,Unixware等。
2.Snort具有实时流量分析和日志Ip网数据包的能力。能够快速地检测网络攻击,及时地发出警报。Snort的警报机制很丰富。
例如:Syslog,用户指定文件,UnixSocket,还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件,Snort可以使用SNML(简单网络标记语言.simple network markup language)把日志存放在一个文件或者适时警报。
3.Snort能够进行协议分析,内容的搜索/匹配。现在Snort能够分析的协议有TCP,UDP和ICMP。将来的版本,将提供对ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出,CGI攻击,SMB检测,探测操作系统质问特征的企图等等。
4.Snort的日至格式既可以是Tcpdump的二进制格式,也可以编码成ASCII字符形式,更便于拥护尤其是新手检查,使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括:Postagresql,MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。
5.使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的数据包,完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据,将其发送给目标端口上监听的进程,从而使攻击包逃过Snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备对付上面攻击的能力。
6.使用Spade(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可以包,从而对端口扫描进行有效的检测。
7.Snort还有很强的系统防护能力。如:是用其IPTables,IPFilter插件可以使入侵检测主机与防火墙联动,通过FlexResp功能,Snort能够命令防火墙主动短开恶意连接。
8.扩展性能较好,对于新的攻击威胁反应迅速。作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。它使用一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言)。最基本的规则知识包含四个域:处理动作,协议,方向,端口。
例如 Log Tcp Any any -> 10.1.1 .0/24 80(谁都看得明白)
9.Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件,破碎数据包检测插件,断口扫描检测插件,HTTP URI插件,XML网页生成等插件。
10.Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新攻击后,可以很快地根据Bugtrag邮件列表,找到特征码,写出新的规则文件。
总之,对于世界上各安全组织来讲,Snort入侵检测都是一个优秀入侵检测系统的一个标准的标准。通过研究它,我们可以学到到所有入侵检测系统的内部框架及工作流程(也包括同类型的商业入侵检测系统的框架及工作流程)。
7.2 Snort系统各程序模块代码分析
系统架构分析Snort主工作流函数为SnortMain()流程大体如下:
Snort2.0系列主工作图
图7.1 Snort主函数模块
相关函数解释:
1) 命令行参数解析函数ParseCmdLine(),解析个中命令参数,并将其放入全局PV类型的变量PV中。数据类型PV包含各种标示字段,用来知识个中系统的参数设置。
例如:规则文件,系统运行模式,显示模式,插件激活等。
2)检测引擎初始化fpInitDetectinEngine(),用于制定快速规则匹配模块的配置参数,包括模式搜索算法等(Snort可使用的算法有Aho-Corasick , Wu-Manber , Boyer-Moore 等算法,缺省Snort使用Byer-More算法。)。并负责在协议解析过程中产生警报信息。
3)取得从网络截取到的数据流的主要进程OpenPcap()。起主要作用是根据命令行参数分析结果,分别调用Libpcap函数库Pcap_open_live()—通过网卡驱动实时截取网络数据 和 Pcap_open_offline()—通过文件来访问以前网卡驱动截取数据保存成为的文件,并获得相对应的数据包数据结构。
4)各种插件初始化主要包括输入/输出插件初始化,检测插件初始化和预处理插件初始化等。主要就是将各种插件的关键字与对应的初始化处理函数相调用,然后注册到对应的关键字链表结构中,随后逐个弹出以便规则解析模块使用。
例如:预处理模块插件. 链表结构PreprocessKeyWordList定义如下:
typedef struct_preprocessKeywordNode
{
char *keyword;
void(*func)(u_char*);
}PreprocessKeywordNode;
typedef struct_preprocessKeywordList
{
PreprocessNode entry;
Struct_PreprocessKeywordList *next;
}PreprocessKeywordlist;
预处理插件的初始化函数 void (*func)(u_char *)并非插件的直接工作模块,而是由规则解释模块负责调用,然后将对应的插件处理模块连接到预处理工作数据链表结构中。
预处理工作函数链表结构PreprocessFuncNode定义如下:
typedef struct_PreprocessFuncNode
{
void (*func)(Packet *);
struct_PreprocessFuncNode *next;
} PreprocessFuncNode;
函数void (*func)(Packet *)才是真正进行预处理的工作模块,将被检测模块Preprocess() 在遍历预处理插件链表时调用。
4)规则结构初始化和解析
CreateDefaultRules()负责进行初始的规则结果建设。
我们学习到的规则链表模型结构多是多个二维链表结构(前面描述过)。而Snort是新三维链表结构形式,涉及到关键数据结构RuleListNode如下:
typedef struct_RuleListNode
{
ListHead *RuList; /* The rule list associated with this node*/
int mode; /* The rule mode */
int rval; /* 0—no detection , 1 –detection event */
int evalIndex ; /* eval index for this rule set */
char *name; /* Name of this rule list */
struct_RuleListNode Next; /* Rhe next RuleListNode */
} RuleListNode;
数据结构RuleListNode链表代表了系统支持的规则类型,包括Alert,Log,Pass,Activate,Dynamic。每链表节电又通过ListHead结构类型字段RuleList
最低0.47元/天 解锁文章
扫一扫
2716
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
