(精品)第10章Snort入侵检测系统.ppt

《(精品)第10章Snort入侵检测系统.ppt》由会员分享，可在线阅读，更多相关《(精品)第10章Snort入侵检测系统.ppt（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1010章章 SnortSnort入侵检测系统入侵检测系统入侵检测系统已经成为了安全市场上新的热点，不仅越入侵检测系统已经成为了安全市场上新的热点，不仅越来越多地受到人们的关注，而且已经开始在各种不同的环境来越多地受到人们的关注，而且已经开始在各种不同的环境中发挥着关键的作用。本章将介绍入侵检测的基本概念、中发挥着关键的作用。本章将介绍入侵检测的基本概念、Snort的安装与使用、的安装与使用、Snort的配置、以及的配置、以及Snort规则的编写规则的编写等内容。等内容。10.1 10.1 入侵检测简介入侵检测简介传统上，企业网络一般采用防火墙作为安全的第一道防传统上，企业网络一般采用防火

2、墙作为安全的第一道防线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对网络安全的进一步需要，网络的防卫必策略已经无法满足对网络安全的进一步需要，网络的防卫必须采用一种纵深的、多样化的手段。入侵检测系统是继防火须采用一种纵深的、多样化的手段。入侵检测系统是继防火墙之后，保护网络安全的第二道防线，它可以在网络受到攻墙之后，保护网络安全的第二道防线，它可以在网络受到攻击时，发出警报或者采取一定的干预措施，以保证网络的安击时，发出警报或者采取一定的干预措施，以保证网络的安全。本节主要介绍网络安全的基础知识、网络攻击的类型、全。本节

3、主要介绍网络安全的基础知识、网络攻击的类型、入侵检测系统的组成与工作原理等内容。入侵检测系统的组成与工作原理等内容。10.1.1 10.1.1 网络安全网络安全网络安全是指提供网络服务的整个系统的硬件、软件、网络安全是指提供网络服务的整个系统的硬件、软件、以及数据要受到保护，不会因为偶尔或恶意的原因而遭到破以及数据要受到保护，不会因为偶尔或恶意的原因而遭到破坏、更改、泄露或者中断服务，确保系统能连续、可靠、正坏、更改、泄露或者中断服务，确保系统能连续、可靠、正常地运行。网络安全是一门涉及计算机科学、应用数学、信常地运行。网络安全是一门涉及计算机科学、应用数学、信息论、密码技术、网络技术、通信技

4、术、信息安全技术等多息论、密码技术、网络技术、通信技术、信息安全技术等多种学科的综合性学科。在不同的应用和环境下，网络安全会种学科的综合性学科。在不同的应用和环境下，网络安全会被赋予不同的内容。被赋予不同的内容。10.1.2 10.1.2 常见的网络攻击类型常见的网络攻击类型防范网络攻击是保证网络安全的一项重要内容，黑客攻防范网络攻击是保证网络安全的一项重要内容，黑客攻击网络的手法虽然五花八门，但也是有一定规律的。具体来击网络的手法虽然五花八门，但也是有一定规律的。具体来说，黑客常用的攻击手法有以下几种类型。说，黑客常用的攻击手法有以下几种类型。1漏洞扫描漏洞扫描2密码破解密码破解3DoS和和

5、DDoS攻击攻击4缓冲区溢出缓冲区溢出5系统后门与木马程序系统后门与木马程序10.1.3 10.1.3 入侵检测系统入侵检测系统入侵检测系统可以分为基于网络、基于主机以及分布式入侵检测系统可以分为基于网络、基于主机以及分布式三类。图三类。图10-1所示的是典型的入侵检测系统的结构模型。所示的是典型的入侵检测系统的结构模型。10.2 10.2 SnortSnort的安装与使用的安装与使用Snort是是Linux平台上最常用的遵循平台上最常用的遵循GNU GPL的入侵检的入侵检测系统，同时它还是一个非常优秀的数据包抓取工具。本节测系统，同时它还是一个非常优秀的数据包抓取工具。本节将介绍将介绍Sno

6、rt的功能特点，的功能特点，Snort软件的获取、安装与运行，软件的获取、安装与运行，Snort命令的格式、命令的格式、Snort作为抓包工具时的使用方法等内容。作为抓包工具时的使用方法等内容。10.2.1 10.2.1 SnortSnort简介简介Snort是一种开放源代码、免费、跨平台的网络入侵保是一种开放源代码、免费、跨平台的网络入侵保护和检测系统，它使用了一种规则驱动的语言，支持各种形护和检测系统，它使用了一种规则驱动的语言，支持各种形式的插件、扩充和定制，具有实时数据流量分析、对式的插件、扩充和定制，具有实时数据流量分析、对IP网络网络数据包进行日志记录、以及对入侵进行探测的功能。数

7、据包进行日志记录、以及对入侵进行探测的功能。虽然虽然Snort的功能非常强大，但其代码非常简洁，可移的功能非常强大，但其代码非常简洁，可移植性非常好。迄今为止数百万的下载量使得植性非常好。迄今为止数百万的下载量使得Snort成为使用成为使用最为广泛的入侵保护和检测系统，并且成为了事实上的行业最为广泛的入侵保护和检测系统，并且成为了事实上的行业标准。标准。10.2.2 10.2.2 SnortSnort的安装与运行的安装与运行Snort是一种开放源代码的软件，可以从其主页是一种开放源代码的软件，可以从其主页http:/www.snort.org下载源代码进行编译安装，目前最新下载源代码进行编译安

8、装，目前最新的稳定版本是的稳定版本是2.8.3.2版。另外，在其主页的下载页面中还提版。另外，在其主页的下载页面中还提供了供了For RHEL5的的RPM软件包，其文件名软件包，其文件名是是snort-2.8.3.2-1.RH5.i386.rpm。除此之外，在除此之外，在/usr/sbin目录下还有一个名为目录下还有一个名为snort的符的符号链接文件，要链接到号链接文件，要链接到/usr/sbin/snort-plain文件，以后文件，以后执行执行snort命令时，实际上真正执行的是命令时，实际上真正执行的是/usr/sbin/snort-plain文件。文件。10.2.3 10.2.3 S

9、nortSnort命令的格式命令的格式Snort有三种工作模式：嗅探器、数据包记录器、网络有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。入侵检测系统。Snort工作在嗅探器模式时相当于一个抓包工作在嗅探器模式时相当于一个抓包软件，仅仅是从网络上读取数据包并连续不断地显示在终端软件，仅仅是从网络上读取数据包并连续不断地显示在终端上。工作在数据包记录器模式时，上。工作在数据包记录器模式时，Snort把数据包记录到磁把数据包记录到磁盘中。网络入侵检测模式是最复杂的，用户可以通过配置让盘中。网络入侵检测模式是最复杂的，用户可以通过配置让Snort分析网络数据包，并与用户定义的一些规则进行匹配

10、，分析网络数据包，并与用户定义的一些规则进行匹配，然后根据检测结果采取一定的动作。然后根据检测结果采取一定的动作。Snort命令的格式如下：命令的格式如下：snort-options 10.2.4 10.2.4 用用SnortSnort抓取数据包抓取数据包除了使用除了使用Snort作为入侵检测工具外，作为入侵检测工具外，Snort还具有强还具有强大的数据包抓取功能，可以作为数据包分析工具使用。在大的数据包抓取功能，可以作为数据包分析工具使用。在snort命令格式中，如果不使用命令格式中，如果不使用“-c”选项指定规则文件，则选项指定规则文件，则Snort将简单地从网络抓取数据包，在屏幕上显示或

11、保存到将简单地从网络抓取数据包，在屏幕上显示或保存到文件中。文件中。10.3 10.3 配置配置SnortSnortSnort最主要的功能是对入侵进行检测，其工作方式是最主要的功能是对入侵进行检测，其工作方式是对抓取的数据包进行分析后，与特定的规则模式进行匹配，对抓取的数据包进行分析后，与特定的规则模式进行匹配，如果能匹配，则认为发生了入侵事件。此时，执行如果能匹配，则认为发生了入侵事件。此时，执行snort命命令时需要用令时需要用“-c”选项指定入侵检测时所使用的配置文件。选项指定入侵检测时所使用的配置文件。Snort默认安装时，已经在默认安装时，已经在/etc/snort目录提供了一个例子

12、目录提供了一个例子配置文件，其文件名配置文件，其文件名是是snort.conf，本节主要以该文件的内本节主要以该文件的内容为中心，介绍一下容为中心，介绍一下Snort的配置方法。的配置方法。10.3.1 10.3.1 定义定义SnortSnort变量变量/etc/snort/snort.conf文件是文件是snort命令运行时的主配命令运行时的主配置文件，为了使用的方便，用户可以在其中定义许多变量，置文件，为了使用的方便，用户可以在其中定义许多变量，以便以后在其它位置进行引用。另外，以便以后在其它位置进行引用。另外，Snort系统本身也使系统本身也使用某些名称的变量，用户赋予的值将影响用某些名

13、称的变量，用户赋予的值将影响Snort的工作状态。的工作状态。变量的值一般是文件系统中的路径、变量的值一般是文件系统中的路径、IP地址、端口号等。地址、端口号等。10.3.2 10.3.2 配置配置SnortSnort选项选项执行执行snort命令时，可以通过指定命令行选项使命令时，可以通过指定命令行选项使Snort工作于不同的状态，实际上，很多的命令行选项都可以在工作于不同的状态，实际上，很多的命令行选项都可以在snort.conf文件中进行配置，于是，就不需要在文件中进行配置，于是，就不需要在snort命令命令行中指定了。除了命令行选项外，在行中指定了。除了命令行选项外，在snort.co

14、nf文件中还可文件中还可以指定其它一些不能在命令行中使用的选项。配置以指定其它一些不能在命令行中使用的选项。配置Snort选选项的格式如下：项的格式如下：config :10.3.3 10.3.3 配置配置SnortSnort预处理模块预处理模块预处理程序从预处理程序从1.5版的版的Snort开始引入，它可以使用户和开始引入，它可以使用户和程序员能够将模块化的插件方便地集成到程序员能够将模块化的插件方便地集成到Snort中，使中，使Snort的功能非常容易地得到扩展。预处理程序代码在数据包解码的功能非常容易地得到扩展。预处理程序代码在数据包解码之后，并在入侵检测引擎被调用之前运行，这样，数据包

15、就之后，并在入侵检测引擎被调用之前运行，这样，数据包就可以通过额外的方法被分析或修改。可以通过额外的方法被分析或修改。1Frag3模块模块2HTTP Inspect模块模块3SMTP解码器解码器10.3.4 10.3.4 配置配置SnortSnort输出插件输出插件配置输出插件可以允许配置输出插件可以允许Snort为用户提供更加人性化的为用户提供更加人性化的输出，它们在输出，它们在Snort的报警和日志模块中被调用，以便把预的报警和日志模块中被调用，以便把预处理和入侵检测引擎中产生的数据输出。每一个输出插件与处理和入侵检测引擎中产生的数据输出。每一个输出插件与某一事件相联系，当该事件发生时，这

16、些输出模块将依次被某一事件相联系，当该事件发生时，这些输出模块将依次被调用。调用。10.3.5 10.3.5 配置配置SnortSnort规则文件规则文件Snort软件包本身并不提供规则，用户如果需要，可以软件包本身并不提供规则，用户如果需要，可以从从Snort的主页下载。的主页下载。Snort网站为三种不同的用户提供不同网站为三种不同的用户提供不同的规则更新服务。的规则更新服务。为了获取为了获取Snort规则，需要在规则，需要在http:/www.snort.org网网站上注册一个用户账号，接着在主页上选择站上注册一个用户账号，接着在主页上选择Rules及及VRT Rules链接，然后在页面

17、中间找到为注册用户提供的链接，然后在页面中间找到为注册用户提供的2.8版的版的规则集，并单击规则集，并单击Download链接下载。下载后的文件约为链接下载。下载后的文件约为66M，文件名是文件名是snortrules-snapshot-2.8.tar。10.4 10.4 编写编写SnortSnort规则规则前面介绍前面介绍了了Snort规则的获得、配置与使用，这些规则规则的获得、配置与使用，这些规则是由各种组织或厂商提供的。有时用户也希望能够自己编写是由各种组织或厂商提供的。有时用户也希望能够自己编写Snort规则，以便能对最新的入侵行为作出反应。下面介绍规则，以便能对最新的入侵行为作出反应

18、。下面介绍一下有关一下有关Snort规则的编写方法。规则的编写方法。10.4.1 10.4.1 SnortSnort规则基础规则基础Snort使用一种简单的，轻量级的规则描述语言，这种使用一种简单的，轻量级的规则描述语言，这种语言灵活而强大。一条语言灵活而强大。一条Snort规则包含两个逻辑部分：规则规则包含两个逻辑部分：规则头和规则选项。头和规则选项。书写书写Snort规则时，所有的内容都应该在一个单行上，规则时，所有的内容都应该在一个单行上，如果需要分成多行书写的，要在行尾加上分隔符如果需要分成多行书写的，要在行尾加上分隔符“”。另。另外，外，snort.conf文件中定义的变量都可以在规

19、则中使用，最文件中定义的变量都可以在规则中使用，最常用的变量是常用的变量是HOME_NET和和EXTERNAL_NET，分别表示分别表示本地子网和其它网段。本地子网和其它网段。10.4.2 10.4.2 SnortSnort规则头规则头规则头定义了一个数据包的规则头定义了一个数据包的who，where和和what信息，信息，以及当数据包满足了规则定义的所有选项的值时，将对数据以及当数据包满足了规则定义的所有选项的值时，将对数据包采取什么样的动作。包采取什么样的动作。在规则头中，紧跟着规则动作的下一个域是协议类型。在规则头中，紧跟着规则动作的下一个域是协议类型。Snort当前可以分析的协议类型有

20、四种：当前可以分析的协议类型有四种：TCP、UDP、ICMP和和IP，这已经包括了这已经包括了Internet最主要的协议。最主要的协议。接下来的域是接下来的域是IP地址。除了单个地址。除了单个IP地址外，还可以使用地址外，还可以使用以以IP地址和地址和CIDR块组成的块组成的IP地址段。地址段。10.4.3 10.4.3 SnortSnort规则选项规则选项Snort的规则选项是入侵检测引擎的核心，所有的入侵的规则选项是入侵检测引擎的核心，所有的入侵行为都可以通过行为都可以通过Snort规则选项将其表达出来，使用起来非规则选项将其表达出来，使用起来非常灵活。所有的常灵活。所有的snort规则

21、选项和选项值之间用规则选项和选项值之间用“:”分隔，分隔，而规则选项本身由而规则选项本身由“;”进行分隔。进行分隔。10.5 10.5 小结小结入侵检测系统是对网络攻击进行主动防范的一种手段，入侵检测系统是对网络攻击进行主动防范的一种手段，是保证网络安全的一种重要措施。本章首先介绍有关入侵检是保证网络安全的一种重要措施。本章首先介绍有关入侵检测的基础知识，包括网络安全的定义、网络攻击的类型、入测的基础知识，包括网络安全的定义、网络攻击的类型、入侵检测系统的定义等内容。然后介绍最知名的开源入侵检测侵检测系统的定义等内容。然后介绍最知名的开源入侵检测系统系统Snort，包括它的三种运行方式、配置方法、规则包括它的三种运行方式、配置方法、规则的使用和编写等内容。的使用和编写等内容。