SNORT介紹及策略配置1SNORT基礎(chǔ)介紹SNORT簡介Snort是一個(gè)跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測工具，從入侵檢測的分類上看，Snort應(yīng)當(dāng)屬于基于網(wǎng)絡(luò)的誤用檢測。針對(duì)每一種入侵行為，都提煉出它的特征并按照規(guī)范寫成規(guī)則，從而形成一個(gè)規(guī)則庫，將捕獲的數(shù)據(jù)包對(duì)照規(guī)則庫逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。輕巧級(jí)，源代碼不到1MB；跨平臺(tái)，在Linux,Windows,MacOSX,Solaris,BSD,IRIX,Tru64,HP-UX平臺(tái)下均可使用；高性能，使用百兆網(wǎng)絡(luò)線速處理；可配置，使用簡單的規(guī)則語言，豐富的日志/配置分析工具；免費(fèi)，GPL開源數(shù)據(jù)處理過程Internet報(bào)文解碼器預(yù)處理器檢測引擎日志和告警輸出模塊告警輸出或日志記錄到文件丟棄報(bào)文Snort的設(shè)計(jì)遵守輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)，基于Libpcap的報(bào)文嗅探接口，基于規(guī)則的檢測引擎和支持無限擴(kuò)展的插件系統(tǒng)。Snort的檢測引擎是基于指紋的規(guī)則，采用模塊化設(shè)計(jì)。具有豐富的檢測能力（內(nèi)置規(guī)則），可進(jìn)行隱蔽掃描，操作系統(tǒng)識(shí)別掃描,、緩沖區(qū)溢出攻擊、后門和CGI漏洞利用等等。規(guī)則系統(tǒng)設(shè)計(jì)十分靈活，易于創(chuàng)建新規(guī)則。Snort的插件有預(yù)處理器，報(bào)文在被送到檢測引擎之前可以先進(jìn)行預(yù)處理；檢測功能，針對(duì)單個(gè)報(bào)文/報(bào)文字段的快速檢測；輸出功能，獲取其他插件的輸出結(jié)果。軟件架構(gòu)嗅探器數(shù)據(jù)采集器預(yù)處理器檢測引擎輸出模塊應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層嗅探告警、日志數(shù)據(jù)包嗅探模塊：負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)進(jìn)行分析。預(yù)處理模塊：該模塊用相應(yīng)的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”，如端口掃描，IP碎片等。檢測引擎：當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報(bào)警模塊。輸出報(bào)警/日志模塊：如果檢測引擎中的某條規(guī)則被匹配，則會(huì)觸發(fā)一條報(bào)警，這條報(bào)警信息會(huì)通過網(wǎng)絡(luò)、UNIXsocket、SMB、SNMP協(xié)議的trap命令傳送給日志文件。SNORT安裝過程-CentOS為例1、準(zhǔn)備一臺(tái)CentOS主機(jī)2、安裝軟件基礎(chǔ)依賴3、下載DAQ、Snort和Rules4、安裝DAQ、Snort5、配置Snort參數(shù)6、運(yùn)行Snort準(zhǔn)備一臺(tái)最小化安裝的CentOS即可gccgcc-c++flexbisonzlibzlib-devellibpcaplibpcap-develpcrepcre-devellibdnetlibdnet-develtcpdumpepel-releasenghttp2opensslopenssl-develLuaJIT/./configure&&make&&sudomakeinstall/etc/snort/snort.conf運(yùn)行測試snort-iens33-T-c/etc/snort/snort.confSNORT規(guī)則[Action][Protocol][SourceIP][SourcePort]->[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptionsSnort有6個(gè)預(yù)定義的動(dòng)作，分別為：alert：使用所選的警報(bào)方法生成警報(bào)，然后記錄數(shù)據(jù)包。log：記錄數(shù)據(jù)包，可以記錄在文件或者數(shù)據(jù)庫中。pass：Snort會(huì)直接跳過該包，在設(shè)置該動(dòng)作時(shí)可以加快Snort的操作速度。drop：阻止并記錄數(shù)據(jù)包。reject：如果協(xié)議是TCP，則阻止數(shù)據(jù)包，記錄日志，然后發(fā)送TCP重置消息，如果協(xié)議是UDP，則發(fā)送ICMP端口不可達(dá)消息sdrop：阻止數(shù)據(jù)包，但不要記錄它。SNORT規(guī)則[Action][Protocol][SourceIP][SourcePort]->[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptions協(xié)議類型Snort當(dāng)前分析可疑包的ip協(xié)議有四種：TCP、UDP、ICMP和IP。將來可能會(huì)更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等。IP地址關(guān)鍵字“any”可以被用來定義任何地址。地址就是由直接的數(shù)字型IP地址和一個(gè)子網(wǎng)掩碼組成的，例如00/24。端口號(hào)端口號(hào)可以用幾種方法表示，包括“any”端口、靜態(tài)端口定義、范圍以及通過否定操作符?！癮ny”端口是一個(gè)通配符，表示任何端口。靜態(tài)端口定義表示一個(gè)單個(gè)端口號(hào)，例如23表示telnet，80表示http等等。端口范圍用范圍操作符“:”表示。方向操作符方向操作符“->”表示規(guī)則所施加的流的方向。方向操作符左邊的ip地址和端口號(hào)被認(rèn)為是流來自的源主機(jī)，方向操作符右邊的ip地址和端口信息是目標(biāo)主機(jī)，還有一個(gè)雙向操作符“<>”。SNORT規(guī)則[Action][Protocol][SourceIP][SourcePort]->[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptions規(guī)則選項(xiàng)規(guī)則選項(xiàng)是snort入侵檢測引擎的核心。規(guī)則選項(xiàng)用分號(hào)“；”隔開。選項(xiàng)關(guān)鍵字和參數(shù)用冒號(hào)“:”分開。msg：在報(bào)警和包日志中打印一個(gè)消息。logto：把包記錄到用戶指定的文件中而不是記錄到標(biāo)準(zhǔn)輸出。ttl：檢查ip頭的ttl的值。tos：檢查IP頭中TOS字段的值。id：檢查ip頭的分片id值。ipoption：查看IP選項(xiàng)字段的特定編碼。fragbits：檢查IP頭的分段位。dsize：檢查包的凈荷尺寸的值。flags：檢查tcpflags的值。seq：檢查tcp順序號(hào)的值。ack：檢查tcp應(yīng)答（acknowledgement）的值。itype：檢查icmptype的值。icode：檢查icmpcode的值。icmp_id：檢查ICMPECHOID的值。icmp_seq：檢查ICMPECHO順序號(hào)的值。session：記錄指定會(huì)話的應(yīng)用層信息的內(nèi)容。rpc：監(jiān)視特定應(yīng)用/進(jìn)程調(diào)用的RPC服務(wù)。resp：主動(dòng)反應(yīng)（切斷連接等）。react：響應(yīng)動(dòng)作（阻塞web站點(diǎn)）。reference：外部攻擊參考ids。sid：snort規(guī)則id。rev：規(guī)則版本號(hào)。classtype：規(guī)則類別標(biāo)識(shí)。priority：規(guī)則優(yōu)先級(jí)標(biāo)識(shí)號(hào)。uricontent：在數(shù)據(jù)包的URI部分搜索一個(gè)內(nèi)容。tag：規(guī)則的高級(jí)記錄行為。ip_proto：IP頭的協(xié)議字段值。sameip：判定源IP和目的IP是否相等。stateless：忽略流狀態(tài)的有效性。regex：通配符模式匹配。distance：強(qiáng)迫關(guān)系模式匹配所跳過的距離。within：強(qiáng)迫關(guān)系模式匹配所在的范圍。byte_test：數(shù)字模式匹配。byte_jump：數(shù)字模式測試和偏移量調(diào)整。flow：這個(gè)選項(xiàng)要和TCP流重建聯(lián)合使用。2SNORT規(guī)則配置實(shí)驗(yàn)SNORT規(guī)則配置實(shí)驗(yàn)ClientCentOS-SNORTens33實(shí)驗(yàn)?zāi)康膶?duì)snort在full報(bào)警模式下進(jìn)行入侵檢測規(guī)則編寫，并進(jìn)行訪問驗(yàn)證。實(shí)驗(yàn)背景Client通過網(wǎng)絡(luò)訪問部署SNORT的CentOS設(shè)備，通過部署SNORT規(guī)則發(fā)現(xiàn)Client的訪問行為。SNORT規(guī)則配置實(shí)驗(yàn)ClientCentOS-SNORTens33CentOS-SNORT配置規(guī)則，檢查SYN包alerttcpanyany->anyany(msg:"SYNPacketGot!";flags:S,CE;sid:3;)1、進(jìn)入到SNORT規(guī)則目錄下，使用vi編輯器編輯local.rules文件[root@localhost~]#cd/etc/snort/rules/[root@localhostrules]#vilocal.rules2、將規(guī)則輸入到”local.rules”文件中，并保存退出3、啟動(dòng)SNORT[root@localh