Snort分析

最新推荐文章于 2023-04-12 10:47:00 发布
最新推荐文章于 2023-04-12 10:47:00 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: IDS&网络安全 文章标签: 引擎 tcp 算法 框架 扩展 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starshift/article/details/1449391
版权

Snort分析

 

Snort的程序架构

       Snort 由几大软件模块组成,这些软件模块采用插件方式与Snort 结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等。Snort程序的基本框架如下图所示:

 

 

1  Snort程序的框架图

Snort的源代码结构:

snort 源代码主要由以下几个主要部分构成:

 

snort. c snort 主函数

decode. c 包解码器

rules. c 规则引擎

detect. c 检测引擎

log. c 记录引擎

spp-开头预处理器插件

sp-开头处理插件

sop-开头输出插件

 

Snort.c 分析

 

       Snort.cSnort的主函数所在,主要作用是控制程序的工作流程和初始话所需的插件。其中,程序从.SnortMain()函数开始,基本流程如下:

 

 

 

2 SnortMain的流程图

 

 

 

 

 

 

 

 

 

3 Snort的数据包处理流程

Snort的预处理程序

       对于Snort来讲,提供超越规则检验的功能还是必要的,比如协议的异常检测和正确性检测,仅仅通过规则匹配是不能完成这样的任务的,这些额外的规则通过预处理器实现。

预处理程序是Snort的一个可通过插件配置的组成部分。主要包括:①模拟TCPIP堆栈功能的插件,如IP碎片重组、TCP流重组插件;②各种解码插件:http解码插件、unicode解码插件、rpc解码插件、tel-net解码插件等;③规则匹配无法进行攻击检测时所用的插件:端口扫描插件、spade异常入侵检测插件、bo检测插件、arp欺骗检测插件等。

 

      

Snort规则的格式

       Snort采用简单的规则描述格式,举例说明如下:

      

Alert TCP  !$HOME_NET any ->!$HOME_NET (meg : “CAN-1999-0736-IIS-showcode”,  flsgs:A:content:”/selector/showcode.asp”: nocase)

 

前面的alert TCP 代表对应于检测引擎的表头,括号内部的规则选项,其中冒号“:” 的是关键字,引号内部的是规则。当且仅当所有的规则均为真的时候才会触发事件。

 

Snort的检测引擎

       Snort的检测引擎通过一个三维链表维护其检测规则,,首先按规则类型( LogPassAlertDynamicActivation)分类,分成了五个单独的规则链;然后针对这五个规则链的每一个按协议类型(TCPUDPICMPIP)分成相应的节点链表;最后又按照源IP、目的IP、源端口号及目的端口号分为多个规则树节点(RTN);每个规则树节点下又有规则选项,称为选项树节点(OTN);这样每个OTN 节点就对应了一条规则,Snort 规则树结构如图4

 

 

4 Snort 规则树结构

 

       当数据包到达检测引擎时,Snort 将首先匹配规则链,然后根据数据包协议匹配相应的节点链表,于是从左至右遍历RTN,参看源、目的IP 及端口号是否匹配,找到一个匹配后,算法向下进行,在每个OTN 中寻找匹配;当找到一个匹配后,退出树结构返回相应规则链的头部,通过指定格式输出。

       在字符串比较方面,Snort主要采用BoyerMoore算法,同时在2.0以后的版本中有WumanberAhoCroshik可供选择。

 

 

总结

       作为IDS而言,Snort的结构使得其可以方便的扩展和部署。但是,遍历的检测引擎和基于lipcap的数据包捕获机制决定了它只能作为中小型企业的入侵检测系统。

 

 

 

 。。。。。

还不能上图

 

 
starshift
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
snort体系结构图
02-17
snort图文框架,让人更加进一步理解入侵检测系统代码实现原理框架图形
Snort框架分析
ljl1704的专栏
01-07 1261
下面是snort2.0的框架分析,相比snort之后的版本,其结构比较简单、更容易学习和理解,其次是 本人对此版本相对比较熟悉一些,可以为初次接触和学习snort的朋友提供帮助,能够快速整体全局性地 了解snort的基本框架。下面从四个方面展开描述。 一、snort插件 snort中的插件有3类,输出插件,预处理插件,规则选项检测插件 插件的好处: 灵活地选择使用哪些功能 开发人员很容易开发第三方插件,易于扩展。 1、输出插件 InitOutputPlugins //输出插件初始化函数注册 1) 注册过.
Snort规则检测引擎--架构解析
网络安全研究
08-24 1997
规则头和规则选项 snort将所有已知的攻击以规则的形式放在规则库中,规则库中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。 规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。 规则选项包含:报警信息和异常包的信息 (特征码) 这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...
Snort入侵检测系统简介
VN520的博客
04-12 2920
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。
snort 源码分析之规则结构分析(一)
guoguangwu的专栏
03-10 3329
snort中比较复杂的结构很多,今天和大家分享一下snort的规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
snort:工作流程及结构解析
无名J0kзr的博客
03-28 2364
文章目录参考文章CentOS 7下安装snort1. 安装mwget(可省略)2. 安装依赖3. 下载LuaJIT、daq、snort4. 安装LuaJIT、daq、snortLuaJITdaqsnort安装完成 参考文章 入侵检测系统详解(IDS) IDS入侵检测系统(snort)刚出炉滴 CentOS 7下安装snort CentOS 7下安装snort 1. 安装mwget(可省略) 为了提...
snort分析文档
05-27
关于snort分析的文档,还有snort详细的数据结构,主要函数及调用关系等内容,对分析snort非常有帮助
snort源码分析.rar
12-10
Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort功能。所有这些子模块都建立在数据包...
Snort 入侵检测系统源码分析--独孤九贱.pdf
08-29
该资源是带目录标签的,是我一个个加上的,里面的内容好像是老版本,snort 2.2,代码结构虽然与现在最新版本的不完全相同,但流程大体不差,各位只要真心想学,还是很容易看懂的
snort源码笔记分析
11-06
这篇文章主要探讨了Snort的源码分析,特别是规则解析、数据结构以及编译过程。 Snort 的规则解析涉及多个数据结构,如规则主链表、OTN (Option Tree Node) 和 RTN (Rule Token Node)。OTN 存储规则选项的信息,而 ...
超详细 snort源码分析
04-27
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
一个非常具体的SNORT分析文档
12-13
一个非常具体的SNORT分析文档 包括中文手册和学习笔记等
snort 源码分析之基础数据结构 链表
guoguangwu的专栏
03-13 501
前面的很多里面涉及到snort的基础数据结构, snort里面很多数据结构都是自己实现的比如今天要讲解的链表,后面要讲的哈希表的实现。 具体文件 sflsq.h|c 链表的数据结构定义 typedef void * NODE_DATA; /* * 节点定义, 队列、栈、链表(双向) */ typedef struct sf_lnode { struct sf_lnode...
snort:Packet结构体详解(留坑)
无名J0kзr的博客
04-23 1334
文章目录杂参考Packet源码1. EtherARP *ah1.1 ARPHdr ea_hdr1.2 uint8_t arp_sha[6]1.3 uint8_t arp_spa[4]1.4 uint8_t arp_tha[6]1.5 uint8_t arp_tpa[4]2. EtherHdr *eh2.1 uint8_t ether_dst[6]2.2 uint8_t ether_src[6]2....
(转载)Snort入侵检测系统分析
峥嵘岁月
02-02 5245
Snort入侵检测系统分析作者:浩海孤帆@bbs.net130.com Snort的特点Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以
Snort总结-程序结构
非同╰_╯寻常
10-10 3218
阅读源代码后绘制,大致描述系统的主要函数调用情况图,原图visio绘制,需要可以联系。 逻辑结构图     规则处理模块 rules.h定义了生成二维规则链表的各种类型变量的数据结构。 parser.c(h)规则解析。 detect.c(h)处理规则部信息,构造规则链表。 pcrm.c(h)构造快速匹配的规则链表的辅助函数。 fpcreate.c(h)构造快速匹配的规则链表。 fpdetec
Windows 10——安装Snort_2_9_16
无限迭代中......
05-26 7220
基本概念 Snort:在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubi
在linux中安装snort框架
帝轩的博客
07-13 1043
snort框架简介 Snort是轻量级的网络入侵检测开源框架,作用于链路层,包含数据包嗅探器、预处理插件、检测引擎、日志输出这四大模块 Snort有嗅探器、数据报记录器、网络入侵检测系统三种模式 嗅探器:从网络上读取数据包显示在终端上 数据报记录器:把数据报记录在硬盘上 网络入侵检测模式:是根据一定的规则来检测结果,根据结果采取一定的动作。其中规则是可以配置的 snort安装 snort安装需要依赖的很多,而在snort的tar.gz中没有涵盖进去,所以我们需要自己安装依赖的包 daq snort
snort中协议分析的工作原理
最新发布
05-12
Snort 是一款基于规则的网络入侵检测系统,它通过对网络数据包进行协议分析来识别潜在的攻击行为。下面是 Snort 协议分析的工作原理: 1. Snort 通过网络接口捕获数据包,并将其发送到预处理器进行处理。 2. 预处理器对数据包进行初步处理,包括对数据包头部的解析、IP 分片重组、数据包重组等操作,以及对数据包进行一些基本的检查和过滤。 3. 在预处理器处理完毕后,Snort 将数据包发送给规则引擎进行进一步的分析。 4. 规则引擎将数据包与配置文件中定义的规则进行匹配,如果匹配成功,则表示数据包中存在潜在的攻击行为。 5. 如果规则引擎发现数据包中存在攻击行为,它将生成一个警报,并将警报信息发送给警报输出模块,同时记录下来以便后续分析。 总之,Snort 的协议分析主要是通过对网络数据包进行深度解析与规则匹配,来识别出潜在的攻击行为并生成警报。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值