Snort介绍
Snort 它是一个多平台的、实时流量分析的入侵检测系统。Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统。
snort的工作模式
(1)嗅探器
嗅探器模式:是从网络上读取数据包并作为连续不断的流显示在终端上。
(2)数据包记录器
数据包记录器:是把数据包记录到硬盘上。
(3)网络入侵检测系统
网路入侵检测:它是可配置的(所以会相对是比较复杂的)。
工作原理
因为snort能够对网络上的数据包进行抓包,但区别于嗅探器的它能够根据自定义规则来进行相应和处理。snort有五种响应的机制。
(1)Activation(报警并启动另外一个动态规则链);
(2)Dynamic(由其它的规则包调用);
(3)Alert(报警);
(4)Pass(忽略);
(5)Log(不报警但记录网络流量)。
Snort通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包,抓包时需将网卡设置为混杂模式,根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包;然后将捕获的数据包送到包解码器进行解码。
Snort主要是通过各插件协同工作才使其功能强大,所以在部署时选择合适的数据库,Web服务器,图形处理程序软件及版本也非常重要。
Snort的缺点
Snort之所以说它是轻量型就是说它的功能还不够完善,比如与其它产品产生联动等方面还有待改进;Snort由各功能插件协同工作,安装复杂,各软件插件有时会因版本等问题影响程序运行;Snort对所有流量的数据根据规则进行匹配,有时会产生很多合法程序的误报。