网络入侵检测系统之Snort(一)

最新推荐文章于 2024-07-13 12:00:16 发布
最新推荐文章于 2024-07-13 12:00:16 发布
阅读量3.5k 收藏 56
点赞数 28
分类专栏: 网络入侵检测系统 文章标签: NIDS 入侵检测系统 snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33823833/article/details/109989370
版权 
作者:于顾而言
版权:本文版权归作者所有
转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任

What is Snort

  1. Snort是世界最顶尖的开源入侵检测系统
  2. Snort IDS利用一系列的规则去定义恶意网络活动,against匹配到的报文并给用户告警
  3. Snort主要用法,第一种类似TCP dump,作为网络sniffer使用,调试网络流量,第二种用于特征识别的网络入侵检测
  4. 线上Snort规则一种是免费的社区规则,一种是付费的订阅(Cisco Talos)

Architecture

在这里插入图片描述

  • 解码器:将捕获的数据包解码后存放到snort定义的结构体中(./decode.h sturct Packet),目前支持的协议有IP,TCP,UDP等

  • 预处理器:基于插件形式,对数据包进行修改,包括分片重组,分段重组,端口扫描预处理器

  • 检测引擎:规则建立(多维链表)+规则匹配

    • 包括数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等;

    • 规则本身相关一些说明选项,比如:reference、sid、classtype、priority等;

    • 规则匹配后的动作选项,比如:msg、resp、react、session、logto、tag等;

    • 选项是对某些选项的修饰,比如从属于content的nocase、offset、depth、regex等

在这里插入图片描述
在这里插入图片描述

//5种动作分类
typedef struct _RuleListNode
{
ListHead *RuleList; /* 指向ListHead结点*/
int mode; /* 规则链结点类型*/
int rval; /*标记位*/
int evalIndex; /* 规则编号*/
char *name; /* 规则链名*/
struct _RuleListNode *next; /*下一个规则链结点*/
} RuleListNode;

在这里插入图片描述

//4种协议
typedef struct _ListHead
{
RuleTreeNode *IpList; /*指向IP规则树结点*/
RuleTreeNode *TcpList; /*指向IP规则树结点*/
RuleTreeNode *UdpList; /*指向IP规则树结点*/
RuleTreeNode *IcmpList; /*指向IP规则树结点*/
} ListHead;

在这里插入图片描述

//五元组+上下行
typedef struct_RuleTreeNode/*攻击特证树结点*/
{
int head_node_number;
int type;
u_long sip;/*源IP地址*/
u_long smask;/*源子网掩码*/
u_long dip;/*目的IP地址*/
u_long dmask;/*目的子网掩码*/
u_short hsp;/*源端口号结束值*/
u_short lsp;/*源端口号起始值*/
u_short hdp;/*目的端口号结束值*/
u_short ldp;/*目的端口号起始值*/
u_int32_t flags; /*流向记录*/
struct_RuleTreeNode*right;/*指向下一攻击特征*/
OptTreeNode*down;/*指向描述这条攻击特征的选项链*/
}RuleTreeNode;

在这里插入图片描述

typedef struct_OptTreeNode /*特征选项结点*/
{
OptFpList opt_func;/*检测函数*/
Void*ds_list;/*在系统中增加插件时需增加的各类数据指针*/
int chain_node_number;/*选项结点个数*/
int type;/*告警类型,alert,log,or pass*/
…;
char*message;/*告警信息*/
struct_OptTreeNode*next;/*指向下一选项结点*/
struct_RuleTreeNode*rtn ;/*指向规则头结点RTN*/
}OptTreeNode;

规则匹配:2.9版本中用到了单模算法和多模算法

单模算法即BM算法,在mstring.c和mstring.h里,其中一个典型的接口如下:int mSearch(const char *, int, const char *, int, int *, int *),用以匹配特定字段

多模匹配:

/*
*  Pattern Matching Methods
*/
//#define MPSE_MWM     1
#define MPSE_AC        2
//#define MPSE_KTBM    3
#define MPSE_LOWMEM    4   //---------- 利用Trie树
//#define MPSE_AUTO    5
#define MPSE_ACF       6
#define MPSE_ACS       7
#define MPSE_ACB       8
#define MPSE_ACSB      9
#define MPSE_AC_BNFA   10  //----------- 基于NFA状态机的AC算法
#define MPSE_AC_BNFA_Q 11  //----------- 基于NFA状态机的AC算法
#define MPSE_ACF_Q     12
#define MPSE_LOWMEM_Q  13  //----------- 利用Trie树


#ifdef INTEL_SOFT_CPM
#define MPSE_INTEL_CPM 14  //----------- intel硬件加速
#endif /* INTEL_SOFT_CPM */报警输出
  • 报警输出:将检测引擎处理后的数据包送到系统日志文件或产生告警。日志文件可以是ascii格式或者tcpdump的二进制格式或到数据库中,当然有输出模块也是以插件形式,用户可定制按需定制

Code Structure

序号模块名称源文件名称备注
1主控模块snort.c/plugbase.csnort.c为主控模块,plugbase.c完成插件的管理和服务功能
2解码模块decode.c完成解码过程,将网络数据包解码成snort定义的Packet结构体,用于后续分析
3规则模块rules.c/parser.crules.c完成与规则相关工作,parser.c完成相关辅助工作
4预处理模块spp_xxx.c/…预处理模块均以spp开头,template/spp_template.c与spp_template.h定义了具体处理模块的模板
5处理插件模块sp_xxx.c/…处理模块均以sp开头,template/sp_template.c与spp_template.h定义了具体处理模块的模板
6输出插件模板spo_xxx.c/…输出模块均以spo开头,模板参照预处理模板
7日志模块log.c与日志有关的功能
8辅助模块ubi_BinTree.c完成一些辅助功能,例如ubi_BinTree.c实现了一个简单二叉树

  • 规则处理模块

    rules.h定义了生成二维规则链表的各种类型变量的数据结构。
parser.c(h)规则解析。
detect.c(h)处理规则部信息,构造规则链表。
pcrm.c(h)构造快速匹配的规则链表的辅助函数。
fpcreate.c(h)构造快速匹配的规则链表。
fpdetect.c(h)用于快速规则匹配检测。

  • 预处理插件模块

    保存在\preprocessors子目录中的文件。实现http解码、数据包分片检查和端口扫描检测等。

  • 处理插件模块

    保存在\detection-plugins子目录中的文件。实现不同类型的检测规则。可以很容易的从文件名得知所实现的规则,例如:spdsizecheck.c针对的是包的数据大小,sp_icmp_type_check.c针对的是ICMP包的类型,sp_tcp_flag_check.c针对的是TCP包的标志位,还有规则选项的模式匹配文件spalem_match.c等等。

  • 输出插件模块

    保存在\output-plugins子目录中的文件。实现输出规则,以不同的方式记录事件。例如:yslog,tcpdump等。

  • 日志模块

    log.c(h)实现日志和报警功能。

  • 辅助模块

    ubiBinTree.c(h)实现一个简单的二叉树。
ubi_SplayTree.c(h)实现了一个伸展的二叉树和相关的功能。
tag.c(h)实现与tag有关的高级日志操作。
vmstring.c(h)实现字符串匹配Boyer-Moore算法。
strlcatu.c(h)文件只有一个函数strlcat(dst,src,siz),实现把src字符串追加到dst的后面,siz用来限定dst的最终长度。
strlcpyu.c(h)文件只有一个函数strlcpy(dst,src,siz),实现把src字符串拷贝到dst,siz用来限定复制的长度。
snprintf.c(h)定义了一些增强的输出函数,由configure决定是否使用。
codes.c(h)定义了unicode_entry结构以及unicode_entry类型的数组。
unicode_data,该数组包含了建立unicode与ASCII码之间的映射所需的数据。
debug.c(h)定义了debug的级别和GetDebugLevel函数获取相应得Debug级别,DebugMessageFunc函数确认Debug参数变量的格式化输出

Reference

于顾而言
关注
  • 28
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
入侵检测检测系统snort开源
03-19
Snort是一款广泛使用的开源入侵检测系统(Intrusion Detection System, IDS),它的主要功能是对网络流量进行实时监控,分析和警报,以发现并防止潜在的攻击和非法入侵。这款工具以其灵活性、可扩展性和社区支持而...
入侵检测系统snort的安装与实验
09-22
随着科学技术的发展,互联网给人类社会带来了前所未有变化,对经济、文化、生产、生活等人类社会各领域都有重大的影响,并逐渐成为人们日常工作和生活的一部分,如电子商务、远程教育、信息共享、休闲娱乐等都逐步...
网络入侵检测系统Snort(二)
诗酒趁年华
12-03 526
Environment Building ubuntu-14.04.5 daq-2.0.7 snort-2.9.16.1 ubuntu配置 sudo apt-get update sudo apt-get dist-upgrade -y sudo apt-get install -y openssh-server sudo reboot 安装snort依赖 sudo apt-get install -y build-essential sudo apt-get install -y libpcap
入侵检测系统(IDS)
m0_61858762的博客
06-19 1331
IDS查找的部分资料学习
网络入侵检测系统Snort(三)
诗酒趁年华
12-09 1277
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件;插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
snort入侵检测系统及CISCO ACL配置
最新发布
weixin_48579910的博客
07-13 956
Snort是一个强大且灵活的网络入侵检测和防御系统,通过数据包捕获、协议分析、内容匹配和攻击检测等功能,提供实时的网络安全监控和保护。通过正确安装和配置Snort网络管理员可以有效地检测和响应各种网络攻击和安全威胁。Snort的高级功能如流量分析、预处理器插件和入侵防御系统(IPS)进一步增强了其安全保护能力。通过日志记录和报告生成工具,管理员可以深入分析和理解网络安全事件,及时采取应对措施。Cisco ACL是控制网络访问和提高网络安全性的强大工具。
Snort入侵检测系统实验
m0_52089634的博客
01-03 5317
kali上Snort的实验
基于Snort搭建的入侵检测系统
m0_73807999的博客
06-29 150
报告详细的展示了基于snort搭建的入侵检测系统
SNORT入侵检测系统
热门推荐
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据包
网络入侵检测--Snort软件规则编写
小人物的编程
11-11 6719
翻译了一下snort的规则说明部分,比较粗略,后续再更新补充一下
开源入侵检测系统Snort安装
negnegil的博客
10-18 4483
Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。 安装系统:虚拟机CentOS7 首先安装 web 服务组件 LAMP Apache #apache yum install httpd httpd-devel #启动ahache systemctl start httpd #
网络入侵检测系统(Snort)研究.doc
09-15
Snort 中,模式匹配是一个研究重点,是入侵检测系统的核心模块,其检测速度快慢直接影响网络入侵检测系统的效率。 snort 的主要特点包括: 1. 从系统的不同环节收集各种信息; 2. 分析收集到的信息并试图寻找...
Snort轻量级入侵检测系统全攻略
06-01
另外,《Snort轻量级入侵检测系统全攻略》深入到Snort的具体技术细节中,是一本不可多得的全面掌握Snort的技术图书。《Snort轻量级入侵检测系统全攻略》面向的对象为具有基本网络技术知识的读者,即使读者以前从未...
基于Snort的分布式入侵检测系统的研究与设计
07-04
通过基于Snort的集中式网络入侵检测系统,论述了基于Snort的分布式入侵检测系统框架在网络中的构建思路与实现方法,设想通过层次化的分布式结构实现分布式检测与集中式管理的统一,有效解决校园网络所面临的安全威胁。
网络入侵检测系统之Suricata(一)
诗酒趁年华
12-25 3707
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
网络入侵检测系统之Suricata(三)--日志代码详解
诗酒趁年华
01-15 3338
Log Module Q1:suricata日志以什么文件格式存储? 分为三类:json、log,pcap格式 Q2:suricata日志都分了哪些级别? 日志level分为:Emergency、Alert、Critical、Error、Warning、Notice、Info,Debug Q3:suricata日志记录哪些信息,内容以什么形式组织的? eve.json suricata所有的告警,元数据,文件信息和特定协议记录都会记录在eve.json中,事件类型 分为alert、http、dns、tls,
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1562
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
网络入侵检测系统之Suricata(七)--DDOS流量检测模型
诗酒趁年华
03-08 1243
大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。针对 Web 服务在第七层协议发起的攻击,正常的有效的数据包 不断发出针对不同资源和页面的 HTTP 请求,并尽可能请求无法被缓存的资源(DB查询等),这样就极大加重了服务器的计算和IO资源,从而导致瘫痪。攻击者截取IP数据包后,把偏移字段设置成不正确的值,接收端在收到这些分拆的数据包后,就不能按数据包中的偏移字段值正确组合出被拆分的数据包,这样,接收端会不停的尝试,以至操作系统因资源耗尽而崩溃。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

于顾而言

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值