入侵檢測系統(tǒng)Snort是一款非常好用的電腦反入侵的軟件,軟件場景主要適用于監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測系統(tǒng),就是幫助用戶捕捉從外部網(wǎng)絡(luò)上下載到本地的數(shù)據(jù)包,一旦有危險(xiǎn)就會(huì)發(fā)生信息至管理員處。
軟件介紹
Snort為開放源代碼入侵檢測系統(tǒng)軟件,為用來監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測系統(tǒng)。主要工作是捕捉流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包,一旦發(fā)現(xiàn)與非法入侵的組合一致,便向管理員發(fā)出警告。
系統(tǒng)模式
探器
所謂的嗅探器模式就是snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在你的控制臺(tái)上。首先,我們從最基本的用法入手。如果你只要把TCP/IP包頭信息打印在屏幕上,只需要輸入下面的命令:
./snort -v
使用這個(gè)命令將使snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果你要看到應(yīng)用層的數(shù)據(jù),可以使用:
./snort -vd
這條命令使snort在輸出包頭信息的同時(shí)顯示包的數(shù)據(jù)信息。如果你還要顯示數(shù)據(jù)鏈路層的信息,就使用下面的命令:
./snort -vde
注意這些選項(xiàng)開關(guān)還可以分開寫或者任意結(jié)合在一塊。例如:下面的命令就和上面最后的一條命令等價(jià):
./snort -d -v –e
數(shù)據(jù)包記錄器
如果要把所有的包記錄到硬盤上,你需要指定一個(gè)日志目錄,snort就會(huì)自動(dòng)記錄數(shù)據(jù)包:
./snort -dev -l ./log
當(dāng)然,./log目錄必須存在,否則snort就會(huì)報(bào)告錯(cuò)誤信息并退出。當(dāng)snort在這種模式下運(yùn)行,它會(huì)記錄所有看到的包將其放到一個(gè)目錄中,這個(gè)目錄以數(shù)據(jù)包目的主機(jī)的IP地址命名,例如:192.168.10.1
如果你只指定了-l命令開關(guān),而沒有設(shè)置目錄名,snort有時(shí)會(huì)使用遠(yuǎn)程主機(jī)的IP地址作為目錄,有時(shí)會(huì)使用本地主機(jī)IP地址作為目錄名。為了只對本地網(wǎng)絡(luò)進(jìn)行日志,你需要給出本地網(wǎng)絡(luò):
./snort -dev -l ./log -h 192.168.1.0/24
這個(gè)命令告訴snort把進(jìn)入C類網(wǎng)絡(luò)192.168.1的所有包的數(shù)據(jù)鏈路、TCP/IP以及應(yīng)用層的數(shù)據(jù)記錄到目錄./log中。
如果你的網(wǎng)絡(luò)速度很快,或者你想使日志更加緊湊以便以后的分析,那么應(yīng)該使用二進(jìn)制的日志文件格式。所謂的二進(jìn)制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包記錄到一個(gè)單一的二進(jìn)制文件中:
./snort -l ./log -b
注意此處的命令行和上面的有很大的不同。我們勿需指定本地網(wǎng)絡(luò),因?yàn)樗械臇|西都被記錄到一個(gè)單一的文件。你也不必冗余模式或者使用-d、-e功能選項(xiàng),因?yàn)閿?shù)據(jù)包中的所有內(nèi)容都會(huì)被記錄到日志文件中。
你可以使用任何支持tcpdump二進(jìn)制格式的嗅探器程序從這個(gè)文件中讀出數(shù)據(jù)包,例如: tcpdump或者Ethereal。使用-r功能開關(guān),也能使snort讀出包的數(shù)據(jù)。snort在所有運(yùn)行模式下都能夠處理tcpdump格式的文件。例如:如果你想在嗅探器模式下把一個(gè)tcpdump格式的二進(jìn)制文件中的包打印到屏幕上,可以輸入下面的命令:
./snort -dv -r packet.log
在日志包和入侵檢測模式下,通過BPF(BSD Packet Filter)接口,你可以使用許多方式維護(hù)日志文件中的數(shù)據(jù)。例如,你只想從日志文件中提取ICMP包,只需要輸入下面的命令行:
./snort -dvr packet.log icmp
網(wǎng)絡(luò)入侵檢測系統(tǒng)
snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS),使用下面命令行可以啟動(dòng)這種模式:
./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
snort.conf是規(guī)則集文件。snort會(huì)對每個(gè)包和規(guī)則集進(jìn)行匹配,發(fā)現(xiàn)這樣的包就采取相應(yīng)的行動(dòng)。如果你不指定輸出目錄,snort就輸出到/var/log/snort目錄。
注意:如果你想長期使用snort作為自己的入侵檢測系統(tǒng),最好不要使用-v選項(xiàng)。因?yàn)槭褂眠@個(gè)選項(xiàng),使snort向屏幕上輸出一些信息,會(huì)大大降低snort的處理速度,從而在向顯示器輸出的過程中丟棄一些包。
此外,在絕大多數(shù)情況下,也沒有必要記錄數(shù)據(jù)鏈路層的包頭,所以-e選項(xiàng)也可以不用:
./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf
這是使用snort作為網(wǎng)絡(luò)入侵檢測系統(tǒng)最基本的形式,日志符合規(guī)則的包,以ASCII形式保存在有層次的目錄結(jié)構(gòu)中。
- PC官方版
- 安卓官方手機(jī)版
- IOS官方手機(jī)版