|
|
 |
 |
|
|
|
|
|
强大的轻量级网络入侵检测系统SNORT
|
|
|
|
编辑:华夏媒体 作者:未知 来源:网络 时间:2006-07-29 总浏览量:1129 |
|
文字大小:[ 大 中 小 ]
文字颜色: 双击滚屏/单击停止 |
|
[上一页] [1] [2] [3] [4] [5] [下一页]
|
1.简介
在网络日益普及的今天,网络安全变的越来越重要,作为网络安全的一个重要组成部分网络入侵检测系统(Network Intrusion Detection System,NIDS)也越来越显示出其重要性。NIDS用来监视网络数据流动情况,当入侵发生时能够提供报警。现在已经出现了很多商业的NIDS,但是它们大多比较复杂,比较难以掌握,而且比较昂贵,比较小的公司无法承受。本文将介绍一个出色的免费NIDS系统---snort,它基于GPL,作者是Martin Roesch。最新版本是1.70版。本文将介绍snort的技术特点及如何使用snort作为NIDS。
2.SNORT的特点
snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。还有,这个软件遵循通用公共许可证GPL,所以只要遵守GPL任何组织和个人都可以自由使用。
1).snort是一个轻量级的入侵检测系统
snort虽然功能强大,但是其代码极为简洁、短小,其源代码压缩包只有大约110KB。
2).snort的可移植性很好
snort的跨平台性能极佳,目前已经支持Linux,Solaris,BSD,IRIX,HP-UX,WinY2K等系统。
3)。snort的功能非常强大
snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击,及时地发出报警。snort的报警机制很丰富,例如:syslog、用户指定的文件、一个UNIX套接字,还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件,snort可以使用SNML(简单网络标记语言,simple network markup language)把日志存放到一个文件或者适时报警。
snort能够进行协议分析,内容的搜索/匹配。现在snort能够分析的协议有TCP、UDP和ICMP。将来,可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。
snort的日志格式既可以是tcpdump式的二进制格式,也可以解码成ASCII字符形式,更加便于用户尤其是新手检查。使用数据库输出插件,snort可以把日志记入数据库,当前支持的数据库包括:Postgresql、MySQL、任何unixODBC数据库,还有Oracle(对Oracle的支持目前处于测试阶段)。
使用TCP流插件(tcpstream),snort可以对TCP包进行重组。snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的TCP包,完全可以避开snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据,将其送给在目标端口上监听的进程,从而使攻击包逃过snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使snort具备了对付上面这种攻击的能力。
使用spade(Statistical Packet Anomaly Detection Engine)插件,snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测。
snort还有很强的系统防护能力。使用FlexResp功能,snort能够主动断开恶意连接。
4).扩展性能较好,对于新的攻击威胁反应迅速
作为一个轻量级的网络入侵检测系统,snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个个域:处理动作、协议、方向、注意的端口。例如:
log tcp any any -> 10.1.1.0/24 79 。还有一些功能选项可以组合使用,实现更为复杂的功能。将有一篇单独的文章讨论如何写snort规则。用户可以从http://www.snort.org得到其规则集。另外,著名的黑客Max Vision在http://www.whitehats.com提供在线的技术支持。
snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。snort当前支持的插件包括:数据库日志输出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI normalization插件、XML插件等。
snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新的攻击后,可以很快根据Bugtraq邮件列表,找出特征码,写出检测规则。因为其规则语言简单,所以很容易上手,节省人员的培训费用。
5).遵循公共通用许可证GPL
snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的NIDS。
3.安装
3.1.如何获得snort
可以从snort的站点http://www.snort.org获得其源代码或者RPM包。使用源代码安装snort需要libpcap库,可以从ftp://ftp.ee.lbl.gov下载,
3.2.安装snort
3.2.1.RPM包,可以使用下面的命令进行安装:
bash#rpm -ihv --nodeps snort-1.7-1.i386.rpm
3.2.2.源代码:
1).解压libpcap包:
bash#uncompress libpcap.tar.Z
bash#tar xvf libpcap.tar
2).编译libpcap库:
bash#./configure
bash#make
3).解压snort-1.7.0.tar.gz
bash#tar zxvf snort-1.7.0.tar.gz
|
|
[上一页] [1] [2] [3] [4] [5] [下一页]
|
|
|
打印 收藏 关闭 至顶部 |
|
 |
|