Snort是一个开源的、占用资源较少的多平台部署的入侵检测系统。
1.Snort前言:必须要考虑Snort自身安全。否则其检测到的数据无可信度。安全设备的自身安全是非常重要的。一旦系统遭受攻击,如DDoS攻击,与Snort争夺计算资源,造成Snort不可用。需要对Snort的应用环境进行良好的安全策略部署。
2.Snort安全加固:关闭不需要的服务/保持系统完整性(Tripwire、AIDE)/启用防火墙,保护一些端口/加密技术/实时更新
3.Snort价值:在于嗅探到的数据经过规则处理的过程。相比普通的嗅探器,Snort对于行为进行探测,基于嗅探器进行规则审查,并生成一个结果提供给网络管理员参考。简单来说,Snort是嗅探器,但不只是嗅探器。
4.Snort缺点:Snort需要其他附件配合才能完成IDS的工作。安装较为复杂。组建之间的协调运作很关键。依赖于Libpcap,因此超过百兆的网络会出现丢包等问题。
5.S