Snort - manual 笔记(四)

1.7 Basic Output

Snort可以做很多任务, 并且在任务完成后输出很多有用的统计信息. 一些不用说明就可以看懂, 其他的总结在这里, 不过只是一些基本的

1.7.1 Timing Statistics

提供基本时间信息统计, 包括总的秒数和捕获的packet数, 还有计算每秒抓多少个包, 例如:

===============================================================================
Run time for packet processing was 175.856509 seconds
Snort processed 3716022 packets.
Snort ran for 0 days 0 hours 2 minutes 55 seconds
Pkts/min: 1858011
Pkts/sec: 21234
===============================================================================

1.7.2 Packet I/O Totals

显示 DAQ 抓到的和注入的包的总数。如果看pcaps的话,显示的是所有的pcaps,除非使用 -pcap-reset 来显示每一个 pcap

  • 非常棒的显示了有多少个已经缓存的packets,这个方式是统计各种DAQ的信息,所以可以读DAQ的文档获取更多信息。
  • 过滤的包不会被DAQ记录
  • 注入(injected)的包是主动响应(active response)的结果,在 inline 或 passive 模式中配置。

示例:

===============================================================================
Packet I/O Totals:
  Received: 3716022
  Analyzed: 3716022 (100.000%)
  Dropped:        0 ( 0.000%)
  Filtered:       0 ( 0.000%)
  Outstanding:    0 ( 0.000%)
  Injected:       0
===============================================================================

1.7.3 Protocol Statistics

显示Snort解析的所有流量的协议,这些协议包括内部的 pseudo-packets 如果启用像 frag3 和 steam5 的话总数会比解析的包大的多。

  • 盘计数(Disc counts)因为基本编码的缺陷Snort无法解码,归为丢弃数。
  • Other 项包含Snort无法解码的包
  • S5 G 1/2 项是 客户端/服务器 会话中 stream5 刷新用来 缓存限制(cache limit) 会话超时(session timeout) 会话重置(session reset) 的计数.

示例:

===============================================================================
Breakdown by protocol (includes rebuilt packets):
Eth:        3722347     (100.000%)
VLAN:       0           ( 0.000%)
IP4:        1782394     ( 47.884%)
Frag:       3839        ( 0.103%)
ICMP:       38860       ( 1.044%)
UDP:        137162      ( 3.685%)
TCP:        1619621     ( 43.511%)
IP6:        1781159     ( 47.850%)
IP6 Ext:    1787327     ( 48.016%)
IP6 Opts:   6168        ( 0.166%)
Frag6:      3839        ( 0.103%)
ICMP6:      1650        ( 0.044%)
UDP6:       140446      ( 3.773%)
TCP6:       1619633     ( 43.511%)
Teredo:     18          ( 0.000%)
ICMP-IP:    0           ( 0.000%)
EAPOL:      0           ( 0.000%)
IP4/IP4:    0           ( 0.000%)
IP4/IP6:    0           ( 0.000%)
IP6/IP4:    0           ( 0.000%)
IP6/IP6:    0           ( 0.000%)
GRE:        202         ( 0.005%)
GRE Eth:    0           ( 0.000%)
GRE VLAN:   0           ( 0.000%)
GRE IP4:    0           ( 0.000%)
GRE IP6:    0           ( 0.000%)
GRE IP6 Ext: 0          ( 0.000%)
GRE PPTP:   202         ( 0.005%)
GRE ARP:    0           ( 0.000%)
GRE IPX:    0           ( 0.000%)
GRE Loop:   0           ( 0.000%)
MPLS:       0           ( 0.000%)
ARP:        104840      ( 2.817%)
IPX:        60          ( 0.002%)
Eth Loop:   0           ( 0.000%)
Eth Disc:   0           ( 0.000%)
IP4 Disc:   0           ( 0.000%)
IP6 Disc:   0           ( 0.000%)
TCP Disc:   0           ( 0.000%)
UDP Disc:   1385        ( 0.037%)
ICMP Disc:  0           ( 0.000%)
All Discard: 1385       ( 0.037%)
Other:      57876       ( 1.555%)
Bad Chk Sum: 32135      ( 0.863%)
Bad TTL:    0           ( 0.000%)
S5 G 1:     1494        ( 0.040%)
S5 G 2:     1654        ( 0.044%)
Total:      3722347
===============================================================================

1.7.4 Snort Memory Statistics

示例:

===============================================================================
Memory usage summary:
  Total non-mmapped bytes (arena):      415481856
  Bytes in mapped regions (hblkhd):     409612288
  Total allocated space (uordblks):     92130384
  Total free space (fordblks):          323351472
  Topmost releasable block (keepcost):  3200
===============================================================================

1.7.5 Actions, Limits, and Verdicts

Action 和 Verdicts 的计数显示了Snort分析过的包。这个信息只会在IDS模式(-c <conf>)输出。

  • Alearts 计数了规则中定义的活动(activate)的,警告(alert)和屏蔽(block)的动作。block中包括block,drop和reject动作。

Limits的引入是因为现实中包括执行时间和可用内存。这些导致潜伏的动作没有发生:

  • Match Limit 计数规则匹配了因为 config detection: max queue events 设置中限制的没有执行的动作。
  • Queue Limit 计数了时间队列中因为 config event queue: max queue 设置中限制的不能储存的事件。
  • Log Limit 计数了因为 config event queue: log 设置中限制的没有报警的事件。
  • Event Limit 计数了 event_filter 中限制的没有报警的事件。
  • Alert Limit 计数了因为已经在会话中触发没有报警的事件。

Vedicts由Snort中分析的每个包计数:

  • Allow Snort分析后没有进行动作的包。
  • Block Snort因为block规则没有转发的包。用 Block 代替 Drop 来防止混淆丢包(Snort没有见到的包 Dropped packets)和屏蔽包(Snort不允许通过的包 Blocked packets)。
  • Replace Snort修正的包,例如,为了一般化或者因为替代规则规定(replace rules)。这只能在 inline 模式中和可兼容的 DAQ 产生。
  • Whitelist Snort分析程式允许通过 w/o 检查的流,和 blacklist 类似,由DAQ或者Snort后续的包完成。
  • Blacklist Snort不允许通过的流。如果DAQ硬件支持,会话中Snort不会见到其中的包,如果不支持,snort会屏蔽每个包而且这会导致计数变高。
  • Ignore Snort一次允许通过 w/o 检查的流。和 blacklist 一样,这由DAQ或Snort后续的包完成。
  • Int Blklst 屏蔽的 GTP Teredo 6in4 或者 4in6 封装的包。这些包如果在 config tunnel verdicts 中设置了以上协议会被列入黑名单屏蔽。注意只计入输出非零的输出。同时,这个计数会在流中第一个包报警时增加。长生警告的包和其流中之后所有的包都会被计数而且屏蔽。
  • Int Whtlst 允许通过的 GTP Teredo 6in4 或者 4in6 封装的包。这些包如果在 config tunnel verdicts 中设置了以上协议会被列入白名单。注意只计入输出非零的输出。同时,这个计数会在流中所有警告的包增加。

示例:

===============================================================================
Action Stats:
    Alerts:     0           ( 0.000%)
    Logged:     0           ( 0.000%)
    Passed:     0           ( 0.000%)
Limits:
    Match:      0
    Queue:      0
    Log:        0
    Event:      0
    Alert:      0
Verdicts:
    Allow:      3716022     (100.000%)
    Block:      0           ( 0.000%)
    Replace:    0           ( 0.000%)
    Whitelist:  0           ( 0.000%)
    Blacklist:  0           ( 0.000%)
    Ignore:     0           ( 0.000%)
===============================================================================

1.8 Tunneling Protocol Support

Snort支持解码很多隧道协议(tunneling protocol),包括 GRE, MPLS, IP in IP, ERSPAN, 全部默认开启。

关闭任何GRE相关封包的支持, PPTP over GRE, IPv4/IPv6 over GRE, ERSPAN,需要一条额外的设置:

$ ./configure --disable-gre

关闭MPLS支持,需要单独的配置:

$ ./configure --disable-mpls

1.8.1 Multiple Encapsulations

Snort会解码多重封包,例如:

Eth IPv4 GRE IPv4 GRE IPv4 TCP Payload

或者

Eth IPv4 IPv6 IPv4 TCP Payload

将不会被处理并且产生解码器警告。

1.8.2 Logging

目前,只有分组的封装部分被记录,例如:

Eth IP1 GRE IP2 TCP Payload

被记录为

Eth IP2 TCP Payload

Eth IP1 IP2 TCP Payload

被记录为

Eth IP2 TCP Payload

注意:PPTP 是利用 GRE 和 PPP,解码PPTP时,目前不支持需要字对齐(word alignment)的架构,例如 SPARC 。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值