浅谈入侵检测技术4（snort简介）

1.Snort简介

Snort是一个用C语言编写的开放源代码软件，符合GPL（GNU General Public License）的要求。

Snort的官方网站称Snort是一个跨平台、轻量级的网络入侵检测软件。

Snort是一个基于Libpcap的轻量级网络入侵检测系统。
它运行在一个“传感器（Sensor）”主机上，监听网络数据。

Snort对主机的要求不高，这台机器可以使一台捡漏的运行FreeBSD系统的PC，但是至少有一个网卡。Snort讷讷狗狗吧网络数据和规则集进行模式匹配，从而检测可能的入侵企图。或者使用SPADE插件，使用统计学方法对网络数据进行异常检测。

Snort使用一种易于扩展的模块化体系结构，可以加入自己编写的模块来扩展Snort的功能。这些模块包括：HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等

Snort的典型运行环境如下图

2.Snort的特点

Snort是一个强大的轻量级的入侵检测系统，它具有实时数据流量分析和捕获IP网络数据包的能力，能够进行协议分析，对内容进行搜索匹配；它能够检测各种不同的攻击方式，对攻击对象进行实时报警；此外，Snort具有很好的扩展性和可移植性。Snort遵循通用公共许可证GPL，所以只要遵守GPL的任何组织和个人都可以使用。

1.Snort的跨平台性能很好

与大多数商用入侵检测软件只能支持其中的1~2中操作系统，甚至需要特定的操作系统不同的是，Snort具有跨平台的特点，他支持的操作系统比较广泛。

2.Snort的功能非常强大

• Snort具有实时流量分析的能力。能够快速地检测网络攻击，及时地发出报警。Snort的报警机制很丰富，例如：syslog、用户指定的文件、一个UNIX套接字，还有使用SAMBA协议想Windows客户程序发出WinPopup消息
• Snort呢能够进行协议分析。包括TCP、UDP和ICMP等
• Snort的日志格式既可以是Tepdump式的二进制格式，也可以解码成ASCII字符形式，更加便于用户检查
• 使用TCP流插件，Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有字节的TCP包，完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据，将其送给在目标端口上监听的进程，从而使攻击包逃过Snort的监视
• 使用SPADE（Statistical Packet Anomaly Detection Engine）插件，Snort能够报告非正常的可疑包，从而对端口扫描进行有效的检测。
• Snort还有很强的系统防护能力。

3.扩展性较好

• 作为一个轻量级的网络入侵检测系统，Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含4个域：处理动作、协议、方向和注意的端口。
• Snort支持插件，可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展
• Snort的规则语言非常简单，能够对信的网络攻击做出很快的反应。
• 遵循公共通用许可证GPL

3.Snort的组成

Snort由3个重要的子系统构成：数据包解码器、检测引擎、日志与报警系统。

（1）数据包解码器

数据包解码器主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。解码器运行在各种协议栈之上，从数据链路层到传输层，最后到应用层。

（2）检测引擎

Snort用一个而为链表存储它的检测规则，其中一维称为规则头，另一维称为规则选项。规则头中防止的是一些公共的属性特征，而规则选项中防止的是一些入侵特征。

为了提高检测速度，通常把最常用的目的IP地址和端口信息放在规则头链表中，而把一些独特的检测标志放在规则选项链表中。

规则匹配查找采用递归的方法进行，检测机制指针对对当前已经建立的链表选项进行检测。当数据包满足一个规则时，就会差法相应的操作。

（3）日志和报警子系统

日志和报警子系统可以在运行Snort的时候以命令行交互的方式进行选择，可供选择的日志形式有3种，报警形式有5种。

Snort可以把数据包以解码后的文本形式或者Tepdump的二进制形式进行记录。解码后的格式便于系统对数据进行分析，而Tcpdump格式可以保证很快的完成磁盘记录功能，而第三种日志机制就是关闭日志服务，什么都不做

报警信息可以发往系统日志。也可以用两种格式记录到报警文件中去，或者通过Samba发送WinPopup信息。发送到报警文件的警告格式分为完全和快递两种格式，完全警告是将保温的爆头信息和警告信息全部记录下来、而快速方式将只把报头中的部分信息记录下来，以便提高记录效率。
系统日志的警告信息可以用Swatch之类的工具很方便的进行监视。WinPopup警告信息则可以很方便的在Windows系统的桌面进行显示。同样，第五种方法就是关闭报警，什么也不做