snort输出插件解析

最新推荐文章于 2022-07-31 20:53:58 发布
最新推荐文章于 2022-07-31 20:53:58 发布
阅读量693 收藏 1
点赞数
分类专栏: 开源组件 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng1983/article/details/119167824
版权

一 snort输出插件 

1.含义:

当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。

2.在配置文件中定义输出插件:

snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如:

output alert_syslog:log_auth log_alert  #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项
output log_tcpdump: /opt/xx.pcap 1024   #将数据包输出tcpdump文件,文件大小限制为1024字节
output alert_mdb:default                #将告警信息输出到共享内存mdb

二 输出插件注册流程

1.SnortInit完成snort所有初始化工作,包括解析命令行参数,初始化snort配置,初始化snort相关预处理插件链表,输出插件链表等;

2.SnortInit调用RegisterOutputPlugins进行输出插件注册工作,RegisterOutputPlugins为注册输出插件主入口,编程者可根据需求增加相关输出插件注册工作;

3.在改造后的snort引擎中,只有1种输出插件即alert_mdb,它具体的作用是将snort风险数据输出到mdb,供业务进程使用;

4.RegisterOutputPlugin将输出插件名称、告警类型和相关初始化函数形成结点插入到输出插件链表尾部。

三 RegisterOutputPlugin函数分析

1.输出插件结点OutputConfigFuncNode

typedef struct _OutputConfigFuncNode
{
    char *keyword;                  // 对应snort.conf输出插件名称 比如mdb_alert
    int output_type_flags;          // 告警标记(告警ALERT,日志LOG,全部ALL)
    union {
        OutputConfigFunc fptr;      // 输出插件处理函数 该函数作用是执行具体的输出工作 比如将风险数据保存到共享内存,将风险数据输出到syslog等
        void *void_fptr;
    } cfptr;
    struct _OutputConfigFuncNode *next;
} OutputConfigFuncNode;

2.函数流程

void RegisterOutputPlugin(char *keyword, int type_flags, OutputConfigFunc oc_func)
{
    OutputConfigFuncNode *node = ...    // 创建新结点
    if (output_config_funcs == NULL)    // 指向链表首结点
    {
        output_config_funcs = node;
    }
    else
    {
        ...
        // 如果链表已经有关键词为keywoord的结点,则释放新增结点 函数返回
        // 将node插件链表尾部
    }
}

四 MDB输出插件初始化函数AlertMDBInit分析

1.插件可选项结构体AlertMDBData

typedef struct _AlertMDBData
{
    char *mdbargs;
    char **args;
    int numargs;
    AlertMDBConfig *config;
} AlertMDBData;

AlertMDBData是snort.conf定义输出插件的可选项,如mdb_alert插件的default,syslog:log插件的auth,log_alert等。

2.参数解析函数AlertMDBParseArgs

static AlertMDBData *AlertMBDParseArgs(struct _SnortConfig *sc, char *args)
{
    data = (AlertMDBData *)SnortAlloc...    // 分配新结点
    ...
    toks = mSplit((char *)args, " \t", 1, &num_toks, "\\");     // 将参数args按照"\t"分割
    for (i = 0;i < num_toks;i++)
    {
        const char *tok = toks[i];
        ...
        // 获取每一个token 如果和default相同,则将data的mdbargs设置为"timestamp,sig_generator...payload"
    }
    ...
}

3.将输出插件函数实体插入输出链表AddFuncToOutputList

void AddFuncToOutputList(SnortConfig *sc, OutputFunc o_func, OutputType type, void *arg)
{
    switch(type)
    {
    case OUTPUT_TYPE_ALERT:
        if (sc->head_tmp != NULL)
            AppendOutputFuncList(o_func, arg, &sc->head_tmp->AlertList);      // 插入到snort配置变量sc的链表尾部
        else
            AppendOutputFuncList(o_func, arg, &AlertList);                      // 插入到全局变量AlertList的链表尾部
    ...
    }
    ...
}

4.输出插件执行实体RealAlertMDB分析

该函数定义在snort.cc中,其作用是匹配相应规则后生成风险信息塞入mdb,供业务进程使用。

I am 006!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Snort预处理插件HelloWorld程序开发
IMBA_09的博客
07-10 1589
本文主要内容:Snort预处理插件开发步骤,关于Snort预处理插件程序资源的列举
snort2.9.3预处理插件步骤整理修改版
09-08
snort2.9.3预处理插件步骤整理,去年本人根据以前开发经验在百度上上传过一份,后有人提出测试不通过,后发现在百度文库上传时忽略了第八步中关于makefile的修改,故重新再将修改后的提交。如果有什么问题可以继续联系。欢迎交流!
VPP snort插件
redwingz的博客
07-31 960
VPP编译之前需要先安装daq库,下载libdaq-3.0.5源码,进行编译安装。之后下载vpp代码,编译之后,生成两个需要的so共享库libdaq_vpp.so和snort_plugin.so。将libdaq_vpp.so.22.02拷贝到目录/home/test目录下。
snort加入egd工控插件
wangzhicheng2013的专栏
03-08 212
一 加入审计回调函数 // 全局声明 typedef void (*Egd_save_action_record)(void *, void *, int); Egd_save_action_record save_action_record = NULL; // 初始化赋值 save_action_record = _dpd.icsSaveActionRecord; // 调用 (*save_action_record)(p, &savemdb, ENUM_ACTION_EGD); 1
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1277
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件输出日志信息插件插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
snort-2.3解析文档
03-14
输出插件负责处理报警信息,可以输出到控制台、日志文件或者发送电子邮件等。 在Snort 2.3中,关键代码分析主要包括规则处理和事件生成。规则处理涉及规则头、规则选项和规则动作。规则头定义了要匹配的协议、方向...
snort实验包.zip
01-02
主要的配置文件为 `snort.conf`,在这里可以设置 Snort 运行模式、规则路径、日志输出、协议分析选项等。与 MySQL 结合时,还需要配置数据库连接参数,以便将检测到的事件存储在数据库中。 "4.木马样本" 是用于测试...
snort源码分析
04-21
总的来说,对Snort源码的分析涵盖了网络协议解析、规则匹配、事件处理、插件机制等多个方面,对于网络安全从业者或有志于研究入侵检测系统的人员来说,这是一个极好的学习资源。同时,配合中文手册,可以更方便地...
Snort源码 C语言实现
12-27
预处理器处理原始网络数据,规则引擎负责匹配入侵模式,解码器解析不同协议的数据,输出插件则将检测结果记录或报告。 2. **事件驱动架构**:Snort采用事件驱动的编程模型,通过检测引擎实时监控网络流量,当发现...
snort源代码
05-20
- **输出插件**:将检测到的事件导出到不同的日志或报警系统。 3. **Snort规则语言**:Snort使用自定义的规则语言,包括基本规则、修饰符和选项。例如,`alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:...
snor:一个非常轻量级的“sickbeard for torrent”
07-06
一个非常轻量级的“sickbeard for torrent”
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中
Snort日志输出插件详解
weixin_33898233的博客
03-27 4021
Snort日志输出插件详解  Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库是Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1    工作模式及输出插件Snort拥有3种工作...
snort插件导入协议名和协议
wangzhicheng2013的专栏
03-18 182
一 概述 snort插件在做协议解析业务时需要知道查询名和相关联的协议ID,以便将协议解析结果和协议名称,协议ID都关联保存起来。总的业务流程如下: 1.snort主进程在启动时调用LoadProtocolAppName从数据库读取所有的appname和appid,调用LoadProtocolReference=》AddProtocolReferenceExtern将appname和appid插入哈希表; 2.snort插件如modbus插件等在启动时调用findProtocolRefere.
snort检测插件初始化流程
wangzhicheng2013的专栏
11-11 216
一 检测插件概述 1.代码位置:snort源码src/detection-plugins 2.作用:snort规则体可定义关键词,如对于ICMP协议的itype,icode等,这些关键词及其参数都会被检测插件解析,并调用检测插件相关函数进行处理。如在规则体定义itype:3,那么检测插件会根据输入分组packet结构的icmp协议的type和规则里itype进行比较操作。 二 检测插件Setup 每个检测插件都有Setup函数,例如sp_icmp_type_check.c中的SetupIcmpTyp
snort使用
weixin_33924770的博客
02-15 689
http://jingyan.baidu.com/article/d8072ac45a626fec95cefd85.html  接上篇,如果编译安装snort并指定了prefix,那么须指定一个软链接,不然每次要用绝对路径,才可以使用。 [root@localhost ~]# ln -s /root/snort/st/bin/snort /bin/snort[root@localhost ~]...
redis性能测试tcp socket and unix domain
weixin_30892763的博客
12-31 569
UNIX Domain Socket IPC socket API原本是为网络通讯设计的,但后来在socket的框架上发展出一种IPC机制,就是UNIX Domain Socket。虽然网络socket也可用于同一台主机的进程间通讯(通过loopback地址127.0.0.1),但是UNIX Domain Socket用于IPC更有效率:不需要经过网络协议栈,不需要打包拆包、计算校验和、维护序号...
snort流量检测软件使用的一些总结
dl425134845的专栏
09-01 752
重点是能够独立编写相关规则: alert tcp any any -> any any (msg:"Bash Shell whoami"; sid:2009580; content:"|77 68 6f 61 6d 69|";rev:11) 比如检测反弹shell的,攻击者输入whoami时才能检测出来 编写新规则的思路:分析攻击流量,从流量中提取关键字,然后添加到规则的cotent中去即可,注意sid不要冲突 snort公开规则可以到官网去下载,或者在我的个人下载资源里面下载。 h
syslog详解及配置远程发送日志和远程日志分类
weixin_34327223的博客
05-07 4926
1、日志协议syslog 1.1、syslog简介   完善的日志分析系统应该能够通过多种协议(包括syslog等)进行日志采集并对日志分析,因此日志分析系统首先需要实现对多种日志协议的解析。其次,需要对收集到的海量日志信息进行分析,再利用数据挖掘技术,发现隐藏再日志里面的安全问题。   Syslog再UNIX系统中应用非常广泛,它是一种标准协议,负责记录系统事件的一个后台程序,记录内容包...
Snort源码深度解析:入门到精通
"本文档是一份关于Snort源码的分析资料,由Kendo...这份Snort源码分析详尽地介绍了Snort的工作机制,从数据包捕获到规则解析,再到网络协议解码,对于想要深入理解Snort内部运作的读者来说,是一份宝贵的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值