1.Snortプロフィール
Snortのは、GPL(GNU一般公衆利用許諾契約書)がある要件を満たすために、C言語オープンソースソフトウェアです。
SnortのSnortの公式ウェブサイトでは、クロスプラットフォーム、軽量ネットワーク侵入検知ソフトウェアです。
libpcapのSnortのは軽量のネットワーク侵入検知システムです。
これは、ホスト、ネットワーク監視データの「センサー(センサー)」で実行されます。
Snortのは少ないホストのために厳しい、このマシンは、FreeBSDのオペレーティングシステムJianlou PCを作ることができますが、少なくとも一枚のカードがあります。Snortのナナ犬バー・ネットワーク・データおよび可能な侵入の試みを検出するパターンマッチングルールセット。SPADEプラグまたは使用、データ異常検出ネットワークの統計的方法を使用して。
Snortのは、簡単に拡張、モジュラー型アーキテクチャを使用し、あなたはSnortの機能を拡張するために書かれた独自のモジュールを追加することができます。これらのモジュールは:HTTP復号プラグ、TCPストリーム再組立データプラグ、プラグポートスキャンの検出、ロギング、および様々な入力flexrespプラグなどのプラグ
典型的な動作環境以下のSnort
2.Snort機能
Snortのは、強力な軽量侵入検知システムでは、リアルタイムのトラフィック分析とデータIPネットワークパケットをキャプチャする機能、プロトコル解析、マッチングのためのコンテンツの検索を持っている、それは上のさまざまな攻撃を検出することができますリアルタイムアラーム内のオブジェクトを攻撃し、加えて、Snortのは良い拡張性と可搬性を持っています。Snortが限りGPLに準拠する任意の組織や個人が使用することができますよう、一般公衆利用許諾契約書のGPLに従ってください。
1.Snort良いクロスプラットフォームのパフォーマンス
ほとんどの商業侵入検知ソフトウェアとは異なり、1つだけでオペレーティングシステム2をサポートし、あるいは異なる特定のオペレーティングシステムを必要とすることができ、Snortのは、クロスプラットフォームの特性を持って、彼はより広くオペレーティングシステムをサポートしていました。
2.Snortは非常に強力です
- Snortのは、リアルタイムのトラフィック分析する能力を持っています。タイムリーに、すぐに警報をネットワーク攻撃を検出することができ。Snortのアラートのメカニズムは、たとえば、非常に豊富です:syslogの、ユーザーが指定したファイル、UNIXソケット、およびSAMBAプロトコルのWindowsクライアントプログラムを使用するには、メッセージを送信しWinPopupを
- それは、プロトコル解析を行うことができますSnortを。などのTCP、UDP、およびICMPなど、
- Snortのいずれかの形式Tepdump式バイナリ形式がASCII文字に復号化することができるログインすることができ、ユーザのチェックが容易
- 使用TCPストリームプラグインは、SnortのTCPパケットを再編成することができます。Snortのは、IPパケットの内容に一致させることができますが、攻撃者はプログラムを使用している場合、TCPの攻撃のために、各バイト送信TCPパケットが唯一、Snortがパターンマッチングを回避することができます。これらのデータを修正してくださいます攻撃されたホストのTCPスタックは、それが攻撃パケットSnortのエスケープ監視して、プロセスを監視し、宛先ポートに送信されます
- 使用SPADE(統計パケット異常検出エンジン)プラグ、それによって効果的にポートスキャンを検出し、異常疑わしいパケットを報告することができるのSnort。
- Snortのは、また、保護の強力なシステムを持っています。
3.スケーラビリティより良いです
- 軽量なネットワーク侵入検知システムとして、Snortのは、十分な拡張性を持っています。これは、単純なルール記述言語を使用しています。処理操作ポート、プロトコル、方向および注意:最も基本的なルールは、4つのフィールドが含まれています。
- Snortのは、あなたがその機能を拡張するために、検出サブシステムのプラグイン固有の機能を備えたレポートを使用することができ、プラグインをサポートしています
- Snortのは、言語は非常に、シンプルなサイバー攻撃の手紙への迅速な対応をすることができるルール。
- フォロー一般公衆利用許諾契約書GPL
組成3.Snort
検出エンジン、ロギングと警報システムデコーダデータパケット:Snortのは、三つの主要なサブシステムで構成されています。
(1)Aパケットデコーダ
主に各種解析のパケット・プロトコル・スタックのデータパケットデコーダは、ルール・マッチングの検出エンジンに提出するために、前処理します。デコーダは、トランスポート層のデータリンク層から、最後にアプリケーション層に、プロトコルスタックのさまざまな実行します。
(2)エンジンを検出します
Snortのリンクされたリストを使用し、ルールは、1次元ヘッドと呼ばれ、他の寸法は、ルール・オプションと呼ばれており、検出ルールが記憶されています。頭を防止するためのルールは、プロパティの共通の特徴のいくつかありますが、ルールは、侵入シグネチャを防ぐために、オプションの一部です。
検出率、一般的にルールの頭の中で最も人気のあるデスティネーションIPアドレスとポート情報のリストが、検出ルールオプションリスト上のいくつかの特徴的なマークを改善するために。
マッチングルールは、再帰的な方法である見つけ、検出機構は、現在、試験のために確立するためのオプションのリストを指します。場合パケット満たすルール、差は、対応する操作方法であろう。
(3)ログとアラームサブシステム
ロギングとアラームサブシステムはコマンドラインオプションと対話するためのSnortの方法、ログの形式の選択を実行することができたときに5種の形で3つのアラームがあります。
Snortのデータパケット復号化テキストまたはTepdumpのバイナリ形式で記録することができます。データを分析するために、フォーマットはtcpdumpを迅速に完全なディスク記録機能を保証することができ、そして第三は、ログサービスのログメカニズムを閉じることで、何もしない簡単なシステムのためのフォーマットをデコードした後、
アラーム情報は、システムログに送信することができます。あなたは、アラームにファイルの形式で記録、またはポップアップウィンドウによるサンバを介して情報を送信することができます。ファイル形式を警告する送信アラームは、二つの形式に分けられる発現十分と記録効率を向上させるために、完全にヘッドショット警告メッセージと記録されたすべての警告メッセージ、および迅速な方法情報記録ヘッダダウンの一部のみを、インキュベート。
ログの警告は、スウォッチのようなツールを容易に監視に使用することができます。WinPopupを警告情報を簡単にデスクトップのWindowsシステム上に表示することができます。同様に、第五の方法は、何もしない、アラームをオフにすることです
