Snort是一个基于libpcap包的网络监控软件,它的一些源代码是从著名tcpdump软件发展而来的,可以作为一个十分有效的网络入侵监测系统,但如何使用呢?为此小编特别带来了snort中文手册pdf版下载,高清格式,无水印,详细介绍了snort简介,编写snort规则,预处理程序和输出插件四大部分。网友通过snort中文手册的学习,可以详细了解到snort工作模式,能实时对流量进行分析并对网络上的IP包登录进行测试等操作,适用于网络管理员使用,欢迎免费下载收藏。
基本介绍
snort作为一个基于网络的入侵检测系统(NIDS),在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警或记录。从检测模式而言,Snort属于是误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
Snort的结构由4大软件模块组成,它们分别是:
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
(4)报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件,甚至可以将报警传送给第三方插件(如SnortSam),另外报警信息也可以记入SQL数据库。
snort中文手册内容简介
1、snort简介
主要介绍了snort的三种工作模式:嗅探器、数据包记录器、网络入侵检测系统以及网络入侵检测系统。
2、编写snort 规则
用大篇幅介绍了在开发snort时需要记住的原则、概念及语句。
3、预处理程序
阐述了用户和程序员能在使用snort时将模块化的插件方便地融入Snort进行扩展。
4、输出插件
讲解输出插件是在Snort的告警和记录子系统被调用时运行这方面的知识。
snort系统特色
1)Snort是一个轻量级的入侵检测系统它虽然功能强大,但是代码却极为简洁、短小,其源代码压缩包不到2兆。
2)Snort的可移植性很好
Snort的跨平台性能极佳,目前已经支持Linux,Solaris,BSD,IRIX,HP-UX,windows等系统。采用插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用;与Netfilter结合使用,可以作为网关IDS(Gateway IDS)等系统指纹识别工具结合使用,可以作为基于目标的IDS(Target—based IDS)。
3)Snort的功能非常强大
Snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:syslog、用户指定的文件、一个UNIX套接字,还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件,Snort可以使用SNML(简单网络标记语言,simple network markup language)把日志存放到一个文件或者适时报警。Snort能够进行协议分析,内容的搜索/匹配。现在Snort能够分析的协议有TCP,UDP,ICMP等。将来,可能提供对ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。
Snort的日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCH字符形式,更加便于用户尤其是新手检查。使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括: Postagresql、MySQL、oraCle、任何UNIXODBC数据库等。使用TCP流插件(TcpStream),Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的TCP包,完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据,将其送给在目标端口上监听的进程,从而使攻击包逃过Snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备了对付上面这种攻击的能力。使用SPADE(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测。
5)扩展性能较好,对于新的攻击威胁反应迅速
作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个域:处理动作、协议、方向、注意的端口。还有一些功能选项可以组合使用,实现更为复杂的功能。Snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI Normalization插件、XML插件等。同时,它支持多种格式的特征码规则输入方式,如数据库、XML等。Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新的攻击后,可以很快根据其特征码,写出检测规则。因为其规则语言简单,所以很容易上手,节省人员的培训费用。
6)多用途性
Snort系统不但可以作为入侵检测系统,还可以作为数据包嗅探器、数据包记录器使用。
7)遵循公共通用许可证GPL
Snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系统。但是,Snort系统也有很大的局限性,其系统结构决定了其检测规则只能使用落后的简单模式匹配技术,适应目前不断出现的新的攻击方式的能力有限:并且它在网络数据流量很大的时候容易产生漏报和误报,这对于目前的宽带潮流是一个很大的缺点。
发表评论
0条评论软件排行榜
热门推荐
- 得间免费小说电脑版 v5.2.8.172.96M / 简体中文
- 南方Plus电脑版 v11.8.027.22M / 简体中文
- 潇湘书院电脑版 v2.3.11.888官方版49.65M / 简体中文
- 数据挖掘导论 官方版61.61M / 简体中文
- 开源阅读电脑版 v3.2517.96M / 简体中文
- 京东读书电脑版 v1.13.4官方版1.98M / 简体中文
- PHP语言精粹电子书 pdf扫描版25.72M / 简体中文
- linux常用命令大全 chm版1.48M / 简体中文
- 本草纲目 5.34M / 简体中文
- Scala程序设计第二版 pdf高清完整版15.83M / 简体中文