第15讲:第十一章-Snort分析分析解析
- 格式:ppt
- 大小:981.50 KB
- 文档页数:39
文档推荐
-
基于snort技术分析页数:17
-
第15讲:第十一章-Snort分析分析解析页数:39
-
基于Snort的入侵检测系统方案页数:64
下载文档原格式
合集下载
snort日志分析和管理工具
snort日志分析和管理工具2001年08月20日13:57:03简介1.什么是入侵检测2.什么是snort3.什么是日志分析4.snort的日志格式4.1.基于文本的格式4.2.tcpdump格式4.3.数据库5.工具5.1.管理基于文本日志的工具5.2.基于tcpdump日志文件的分析工具5.3.数据库分析工具总结参考简介snort是一个轻量级的网络入侵检测系统,它可以记录所有可能的入侵企图。
记录信息的文件可以是文本、XML、libpcap格式,也可以把把信息记录到syslog或者数据库。
本文将介绍一些用于snort日志管理的工具。
不过,本文无法囊括所有的分析工具。
因为snort 作为一个自由、健壮的入侵检测系统,受到很多人的关注,因此针对它开发的工具层出不穷。
本文将介绍的工具主要针对三种输出格式:文本、libpcap(也就是tcpdump格式)和数据库。
我们将主要介绍这些工具的安装和功能。
1.什么是入侵检测入侵检测就是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。
大多数的入侵检测系统都可以被归入到基于网络、基于主机以及分布式三类。
基于网络的入侵检测系统能够监视网络数据发现入侵或者攻击的蛛丝马迹;基于主机的入侵检测系统能够监视针对主机的活动(用户的命令、登录/退出过程,使用的数据等等),以此来判断入侵企图;分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。
各种入侵检测系统使用的检测方法可以分为两类:基于特征码的检测方法和异常检测。
使用基于特征码检测方法的系统从网络获得数据,然后从中发现以知的攻击特征。
例如:在某些URL中包含一些奇怪的Unicode编码字符就是针对IIS Unicode缺陷的攻击特征。
此外各种模式匹配技术的应用,提高了这种检测方法的精确性。
使用异常检测的系统能够把获得的数据与一个基准进行比较,检测这些数据是否异常。
snort实验
实验7 基于snort的IDS配置实验1.实验目的通过配置和使用Snort,了解入侵检测的基本概念和方法,掌握入侵检测工具的使用方法,能够对其进行配置。
2.实验原理2.1 入侵检测基本概念入侵检测系统(Intrusion Detection System简称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和是否存在入侵的迹象,进而达到提示入侵、预防攻击的目的。
入侵检测系统作为一种主动防护的网络安全技术,有效扩展了系统维护人员的安全管理能力,例如安全审计、监视、攻击识别和响应的能力。
通过利用入侵检测系统,可以有效地防止或减轻来自网络的威胁,它已经成为防火墙之后的又一道安全屏障,并在各种不同的环境中发挥关键作用。
1.入侵检测系统分类根据采集数据源的不同,IDS可分为基于网络的入侵检测系统(Network-based IDS,简称NIDS)和基于主机的入侵检测系统(Host-based IDS,简称HIDS)。
NIDS使用监听的方式,在网络通信的原始数据包中寻找符合网络入侵模版的数据包。
NIDS的网络分析引擎放置在需要保护的网段内,独立于被保护的机器之外,不会影响这些机器的CPU、I/O与磁盘等资源的使用,也不会影响业务系统的性能。
NIDS一般保护的是整个网段。
HIDS安装在被保护的机器上,在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。
由于HIDS 安装在需要保护的主机系统上,这将影响应用系统的运行效率。
HIDS对主机系统固有的日志与监视能力有很高的依赖性,它一般保护的是其所在的系统。
NIDS和HIDS各有优缺点,联合使用这两种方式可以实现更好的检测效果。
2.入侵检测系统的实现技术入侵检测系统的实现技术可以简单的分为两大类:基于特征的检测(Signature-based)和基于异常的检测(Anomaly-based)。
物联网安全snort分析报警信息
实验报告Experimentation Report of Taiyuan Normal University系部计算机系年级 2017 课程物联网安全技术姓名学号日期项目实验三安装入侵检测软件snort,分析报警信息。
一、实验目的分析报警信息二、实验仪器硬件资源:笔记本电脑;软件资源:snort软件;三、实验过程1.下载并安装snort和winPcap软件。
wincap下载地址https:///install/bin/WinPcap_4_1_3.exeSnort下载地址:安装Snort与winpcap,在弹出来的各种框框点击next或者agree。
2.打开命令提示符,输入cd/d D:\App\Snort\bin3.输入snort –W4.输入snort -v -i15.下图为抓获到的一些流量。
6.键入ipconfig查询本机ip地址如图。
可知子网地址为192.168.1.0/247.修改snort中的配置文件改为如下:8.配置动态预处理器库改为如下:# path to dynamic preprocessor librariesdynamicpreprocessor directory D:\App\Snort\lib\snort_dynamicpreprocessor dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_dns.dll dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_sdf.dll dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll dynamicpreprocessor file D:\App \Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine D:\App \Snort\lib\snort_dynamicengine\sf_engine.dll9.修改配置文件classification.config 和reference.config的路径:改为如下:# metadata reference data. do not modify these linesinclude D:\App \Snort\etc\classification.configinclude D:\App \Snort\etc\reference.config操作与测试(1)Snort 嗅探器模式使Snort 只将IP 和TCP/UDP/ICMP 的包头信息输出到屏幕上。
snort规则分析评估
– IP碎片;
----------------------- Page 9-----------------------
SSnortt原理分析原理分析--预处理器简介预处理器简介
SSnortt主要包含以下预处理器主要包含以下预处理器:
– 通过DAQ调用底层函数库,捕获来 输出
自网络的数据包
解码模块解码模块 数据包规则匹配数据包规则匹配
特性的强大的网络入侵检测/ 防御系统(Network Intrusion
Detection/PreventionDetection/Prevention System)System),即即NIDS/NIPSNIDS/NIPS.
SnortSnort有三种工作模式有三种工作模式::嗅探器嗅探器、数据包记录器数据包记录器、网络入侵检测系网络入侵检测系
– 负责对流量标准化负责对流量标准化,以便探测引擎能精确匹配特征以便探测引擎能精确匹配特征。
目前已知的目前已知的IDSIDS逃避技术主要有逃避技术主要有::
– 多态URL编码;
– 多态shellcode;
– 会话分割;
SSnortt--基于特征检测的基于特征检测的NIDSNIDS
在1998年,Martin Roesch先生用C语言开发了开放源代码(Open
Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平
台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包记录等
– 对捕获的数据包进行协议解码 Snort
预处理模块 数据包预处理
– 以插件形式存在,对IP分片进行
重组,防止ARP欺骗等等 数据包解码
----------------------- Page 9-----------------------
SSnortt原理分析原理分析--预处理器简介预处理器简介
SSnortt主要包含以下预处理器主要包含以下预处理器:
– 通过DAQ调用底层函数库,捕获来 输出
自网络的数据包
解码模块解码模块 数据包规则匹配数据包规则匹配
特性的强大的网络入侵检测/ 防御系统(Network Intrusion
Detection/PreventionDetection/Prevention System)System),即即NIDS/NIPSNIDS/NIPS.
SnortSnort有三种工作模式有三种工作模式::嗅探器嗅探器、数据包记录器数据包记录器、网络入侵检测系网络入侵检测系
– 负责对流量标准化负责对流量标准化,以便探测引擎能精确匹配特征以便探测引擎能精确匹配特征。
目前已知的目前已知的IDSIDS逃避技术主要有逃避技术主要有::
– 多态URL编码;
– 多态shellcode;
– 会话分割;
SSnortt--基于特征检测的基于特征检测的NIDSNIDS
在1998年,Martin Roesch先生用C语言开发了开放源代码(Open
Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平
台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包记录等
– 对捕获的数据包进行协议解码 Snort
预处理模块 数据包预处理
– 以插件形式存在,对IP分片进行
重组,防止ARP欺骗等等 数据包解码
Snort原理分析--OTN初始化
• Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系 统。
– 嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。 – 数据包记录器模式把数据包记录到硬盘上。 – 网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网 络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
– 包含匹配内容,匹配位置,报警信息,引用说明等等。
例:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-PHP Opt-X header.php remote file include attempt"; flow:to_server,established; content:"/header.php"; nocase; http_uri; content:"systempath=";.....)
• 预处理模块
– 以插件形式存在,对IP分片进行 重组,防止ARP欺骗等等
• 规则匹配模块
– 根据设置的规则对数据包进行匹 配
• 输出模块
– 以插件形式存在,当匹配成功时 进行记录或报警
Snort原理分析--数据包解码
• 在Snort内部用Packet 数据结构表示一个数 据包。数据包解码模 块负责根据捕获到的 数据包初始化Packet 数据结构。(该结构 定义在decode.h中) 数据包解码函数均定 义在decode.c中,由 grinder指针指向其入 口函数。解码流程如 右图所示。最后生成 完整的Packet结构。
Snort原理分析--规则表现形式
• 在Snort中,规则头由RuleTreeNode(RTN)结构表示,规则选项由 OptTreeNode(OTN)表示。 • RTN结构中主要包括:
课程设计snort
课程设计snort一、教学目标本课程的教学目标是使学生掌握Snort的基本概念、原理和配置方法。
通过本课程的学习,学生将能够:1.理解Snort的工作原理和功能特点;2.掌握Snort的安装和配置方法;3.学会使用Snort进行网络监控和入侵检测;4.了解Snort在网络安全领域的应用和价值。
二、教学内容本课程的教学内容主要包括以下几个部分:1.Snort概述:介绍Snort的起源、发展历程和版本信息,使学生对Snort有一个整体的认识。
2.Snort的工作原理:讲解Snort的工作原理,包括工作模式、检测引擎和规则匹配等,帮助学生理解Snort的内部机制。
3.Snort的安装与配置:详细介绍Snort的安装过程,以及如何在不同操作系统下配置Snort,让学生掌握实际操作能力。
4.Snort规则编写:讲解Snort规则的语法和编写方法,引导学生学会自定义规则,以满足不同场景的需求。
5.Snort应用案例:通过实际案例分析,使学生了解Snort在网络安全监测、入侵检测等方面的应用。
三、教学方法为了提高教学效果,本课程将采用以下教学方法:1.讲授法:教师讲解Snort的基本概念、原理和配置方法,引导学生掌握知识点。
2.案例分析法:通过分析实际案例,使学生了解Snort在网络安全领域的应用,提高学生的实践能力。
3.实验法:安排实验室实践环节,让学生动手配置和调试Snort,增强学生的实际操作能力。
4.讨论法:学生进行小组讨论,分享学习心得和经验,提高学生的沟通和协作能力。
四、教学资源为了支持本课程的教学,我们将提供以下教学资源:1.教材:选用权威、实用的教材,为学生提供系统、全面的学习资料。
2.参考书:推荐相关的参考书籍,拓展学生的知识视野。
3.多媒体资料:制作课件、视频等多媒体资料,丰富教学手段,提高学生的学习兴趣。
4.实验设备:提供实验室环境和相关设备,让学生能够进行实际操作练习。
五、教学评估本课程的教学评估将采用多元化的评价方式,以全面、客观地评估学生的学习成果。
第15讲:第十一章-Snort分析
10
规则的语法
返回
例如:
var MY_NET [192.168.1.0/24, 10.1.1.0/24] var MY_NET $ (MY_NET: -192.168.1.0/24) log tcp any any ->$ (MY_NET: ?MY_NET is udefined!) 23
此外,还可以在规则文件中使用关键字include,允 许引用其它的规则文件
规则分类存放在规则文件中。规则文件是普通的文 本文件。可使用注释行。 Snort允许定义变量,并在规则中使用这些变量。如: var : <name> <value>
$name: 定义一个元变量 $(name): 使用name的内容替代 $(name: -defaultvalue):使用name的内容替代。如果 name未定义,则使用defaultvalue $(name: ?message): 使用name的内容替代。若name没 有定义,则打印错误信息message,并退出程序。
输出插件的name字段说明如下:
Alert_syslog Alert_fast Alert_full Alert_smb 等等
14
常用攻击手段对应规则举例
下面介绍如何使用这些规则描述一个切实的攻击:
针对IIS的例子网络中的漏洞的攻击,相应的规则 见web-iis.rule: Alert tcp $EXTERNAL_NET any ->$HTTP_SERVERS 80 (msg: ‘WEB-IIS site/iisamples access”; flag: A+; uricontent: “/site/iisamples” nocase; classtype: attempted-recon; sid: 1046; rev:1;) 针对利用IIS web服务器的远程漏洞CodeRedII Alert TCP $EXTERNAL any -> $INTERNAL 80(msg: “IDS552/web-iis_IIS ISAPI Overflow ida”;dsize:>239;flag: A+;uricontent: “.ida?” classtype: system-or-infoattempt;reference: arachnids,552;)
规则的语法
返回
例如:
var MY_NET [192.168.1.0/24, 10.1.1.0/24] var MY_NET $ (MY_NET: -192.168.1.0/24) log tcp any any ->$ (MY_NET: ?MY_NET is udefined!) 23
此外,还可以在规则文件中使用关键字include,允 许引用其它的规则文件
规则分类存放在规则文件中。规则文件是普通的文 本文件。可使用注释行。 Snort允许定义变量,并在规则中使用这些变量。如: var : <name> <value>
$name: 定义一个元变量 $(name): 使用name的内容替代 $(name: -defaultvalue):使用name的内容替代。如果 name未定义,则使用defaultvalue $(name: ?message): 使用name的内容替代。若name没 有定义,则打印错误信息message,并退出程序。
输出插件的name字段说明如下:
Alert_syslog Alert_fast Alert_full Alert_smb 等等
14
常用攻击手段对应规则举例
下面介绍如何使用这些规则描述一个切实的攻击:
针对IIS的例子网络中的漏洞的攻击,相应的规则 见web-iis.rule: Alert tcp $EXTERNAL_NET any ->$HTTP_SERVERS 80 (msg: ‘WEB-IIS site/iisamples access”; flag: A+; uricontent: “/site/iisamples” nocase; classtype: attempted-recon; sid: 1046; rev:1;) 针对利用IIS web服务器的远程漏洞CodeRedII Alert TCP $EXTERNAL any -> $INTERNAL 80(msg: “IDS552/web-iis_IIS ISAPI Overflow ida”;dsize:>239;flag: A+;uricontent: “.ida?” classtype: system-or-infoattempt;reference: arachnids,552;)
Snort 检测软件的了解
作业四Snort检测软件的了解姓名:陈清早学号:PT1400158目录1Snort系统概述1.1Snort的功能1.2Snort特点1.3Snort系统结构1.4Snort模块分析2相关协议介绍2.1Ethernet协议2.2IP协议2.3TCP协议3Snort规则3.1规则的结构4Snort规则典型实例分析—特洛依木马5结论参考文献1Snort系统概述Snort是以开放源代码形式发行的一个功能强大、跨平台、轻量级的网络入侵检测系统。
最初由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。
从检测模式而言,Snort属于网络入侵检测(NIDS)的误用检测。
它通过libpcap库函数(数据包捕获函数库)从网络中抓取数据包,对数据包进行解析,接着启动检测引擎,将解释好的数据包和规则模式集进行比较。
如果匹配规则成功,则认为该入侵行为成立,使用规定的方式进行响应,然后结束一个数据包的处理过程,再抓取下一个数据包。
如果未被规则匹配到,则是正常行为,直接返回,抓取下一个包进行处理。
1.1Snort的功能(1)Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值,并按照规范写成检测规则,形成一个规则数据库。
利用此规则库和捕获的数据包进行比较,来判断是否为入侵。
目前,Snort的检测规则库主要针对缓冲区溢出、端口扫描和CGI (Common Gateway Interface公共网关接口)攻击等。
(2)Snort集成了多种告警机制来提供实时告警功能,包括:syslog(系统日志)、用户指定文件、Unix Socket(套接字)、通过Smblient(查看访问共享资源)使用WinPopup(window 中局域网发送和接收消息进程)对Windows客户端告警。
(3)Snort的插件机制使得它具有很好的扩展性和可移植性,用户可以根据自己的需要及时在短时间内调整检测策略,对于新的攻击威胁做出迅速反应。
snort原代码分析
Snort原代码分析:引言一:Snort系统是一个以开放源代码形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。
Snort运行在Libpcap库函数基础之上,并支持多种系统软硬件平台。
它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对内容搜索/匹配。
它能够检测各种不同的攻击方式,对攻击进行实时警报。
本文中所使用的原代码为Snort1.9.1(winpcap2.3),调试环境为windows2000 sp4 + VC6.0。
二:系统程序构架Snort主要由以下几大部分组成:数据包嗅探器,预处理器,检测引擎和报警输出模块。
具体流程如下图:Snort从网卡取得数据包后先用预处理插件进行处理,然后经过检测引擎中的所有规则链,如果有符合规则链的数据包则会被检测出来,按照规则进行处理。
下面是Snort主函数main的代码的主要执行流程图:1.初始化过程。
包括winsock的初始化init_winsock(),网络掩码数据InitNetmasks()和协议名称数组InitProtoNames()的初始化工作,以及各个PV结构参数初始化(Snort命令行使用方式及PV数据结构请见附录)。
2.命令行参数解析ParseCmdLine(argc, argv)。
将对应的命令行开关参数赋给相应的PV结构参数。
3.打开Libpcap()包捕获接口。
4.调用输出插件模块初始化函数InitOutputPlugins(),注册所有的输出插件。
5.调用SetPktProcessor()根据所选用的数据链路层协议类型,设置对应的数据包处理函数,该函数指针保存在全局变量grinder 中。
6. 调用预处理器插件初始化函数InitPreprocessors(),注册所有的预处理器插件。
7. 调用插件初始化函数InitPlugins (),注册所有的检测引擎插件。
网络嗅探与协议分析-Snort
⽹络嗅探与协议分析-SnortSnort分析Snort拥有三⼤基本功能:嗅探器、数据包记录器和⼊侵检测。
嗅探器模式仅从⽹络上读取数据包并作为连续不断的流显⽰在终端上,数据包记录器模式是把数据包记录到硬盘上,⽹络⼊侵检测模式是最复杂的,⽽且是可配置的。
我们可以让Snort分析⽹络数据流以匹配⽤户定义的⼀些规则,并根据检测结果采取⼀定的动作。
从本质上说,Snort与tcpdump和snoop⼀样,都是⽹络数据包嗅探器。
因此,嗅探器模式是Snort⼯作的基本模式。
只要运⾏Snort时不加载规则,它就可以从⽹络上读取数据包并连续不断地显⽰在屏幕上,直到⽤户按下Ctrl+C键终⽌。
这时,Snort将显⽰统计信息。
Snort使⽤Libpcap⽹络驱动库。
在这种模式下,Snort将⽹卡设置为混在模式,读取并解析共享信道中的⽹络数据包。
在嗅探模式下,Snort也可以将这些信息记录到⽇志⽂件中。
这些⽂件随后可以⽤Snort或者tcpdump查看。
⼊侵模式需要载⼊规则库才能⼯作。
在⼊侵模式下,Snort并不记录所有捕获的包,⽽是将包与规则对⽐,仅当包与某个规则匹配的时候,才会记录⽇志或产⽣报警。
如果包并不与任何⼀个规则匹配,那么它将会被悄悄丢弃,并不做任何记录。
运⾏Snort的⼊侵检测模式的时候,通常会在命令⾏指定⼀个配置⽂件。
⼯作流程包括包捕获模块、包解码模块、预处理模块、检测模块(模式匹配)、输出模块等分析过程由snort.c ⽂件中的OpenPcap函数实现捕包过程(实现的功能实现到libpcap库流程的循环抓包前为⽌)在ProcessPacket()中会对所选模式进⾏判断,并进⾏相应操作:若选择【嗅探模式】,则会调⽤下⾯的函数,然后进⾏输出,不会进⾏以下的步骤if(pv.verbose_flag){/*根据协议,调⽤相应输出函数,共⽀持4种协议*/if(p.iph!=NULL)/*IP协议*/PrintIPPkt(stdout,p.iph->ip_proto,&p);else if(p.ah!=NULL)/*Eapol协议*/PrintArpHeader(stdout,&p);else if(p.elph!=NULL)/*ARP协议*/PrintEapolPkt(stdout,&p);else if(p.wifih&&pv.showwifimgmt_flag)/*WiFi协议*/PrintWiFiPkt(stdout,&p);}若选择【⽇志记录模式】,则会调⽤相应插件,进⾏⽇志记录,CallLogPlugins函数的主要功能是遍历LogList的所有注册函数,实现⽇志输出。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
17
规则的设计
根据网络的安全策略定制自己的规则:
首先要针对具体的网络环境制订自己的安全策 略,然后才能制订自己的规则。 然后考察网络中所不提供的服务和提供的服务 以及谁可以访问这些服务
如果一个内部网络192.168.1.0/24不允许从外部网 络访问,就可以增加一条规则发现这种异常访问: Alert tcp $EXTERNAL_NET any->192.168.1.0/24 any (msg: “police:external net attempt to access 192.168.1.0/24”;classtype:attempted-recon; sid:10002; rev:1;)
HTTP Decode: 用于处理HTTP URI字符串并且将串 中的数据转化为可读的ASCII字串。例子: preprocessor http_decode: 80 8080 unicode iis_flip_slash iis_alt_unicode
12
预处理程序
返回
Portscan Detector: 向一个记录设备中记录一个源 IP地址来的端口扫描的开始和结束。例子: preprocessor portscan: 192.168.1.0/24 5 7 /var/log/portscan.log Portscan Ignorehosts: 忽略源自某些主机的TCP SYN和UDP端口扫描。例子: preprocessor portscan-ingnorehosts: 192.168.1.5/32 192.168.3.0/24 Frag2: 是一个新的IP碎片重组预处理器。 等等 。。。
Alert tcp any any ->192.168.1.0/24 21 (conent: “USER root”; msg: “FTP root login”;)
21
规则的设计
加速含有内容选项的规则
内容规则选项总是最后一个被检测.因此,应该先 运用别的快速规则选项,由这些选项决定是否需 要检查数据包的内容. 比如,对TCP会话, 可先进行 TCP标志位的检验. 例如 Alert tcp any any ->192.168.1.0/24 80 (content: “cgibin/phf”; falgs: PA; msg: “CGI-PHF probe”;) 如果PSH和ACK标志没有置位, 就不需要对数据 包的有效载荷进行检验.
16
常用攻击手段对应规则举例
返回
对规则的更新有以下3种方式:
经常访问Snort官方网站,更新它所发布的新规 则 可以加入Snort的邮件列表,它会更及时地根据 当前流行的安全漏洞,发布相应的攻击标识以 及相应的Snort规则 可以根据自己的环境定制自己的规则,或者根 据自己发现的新攻击来编写相应的规则。有一 些违反安全策略的行为,并不是某种攻击或这 种攻击不未发现,这就需要用户自己去编写自 己的规则。
6
规则的结构
Snort的规则分为两个部分:规则头和规则选项。
规则头
规则动作: Alert, log, pass, activate, dynamic 用户可以创建一条规则,记录到系统日志和 MySQL数据库 ruletype redalert { type alert output alert_syslog: LOG_AUTH LOG_ALERT output database: log, mysql, user=Snort dbname=Snort host=localhost }
8
规则的结构
返回
规则的选项:所有规则选项用Snort规则选用分 号“;”隔开。规则选项关键字和它们的参数用 “:”分开。Snort有42个规则选项关键字
msg Logto ttl tos id ipoption fragbits dsize Seq
等等
9
规则的语法
5学时 3学时 2学时 3学时 2学时 3学时 3学时 2学时 3学时 4学时 2学时
2
教材及参考书
《入侵检测技术》唐正军等 清华大学出版社 《入侵检测技术》曹元大 人民邮电出版社 《入侵检测》罗守山 北京邮电大学出版社
3
上一章回顾
Snort的安装配置 Snort总体结构 Snort的使用
7
规则的结构
协议:TCP, UDP,ICMP和IP IP地址:由直接的数字型IP地址和一个Cidr块组 成。“any“用来定义任何地址。可将”!“操 作符用在IP地址上。比如: alert tcp !192.168.1.0/24 any ->192.168.1.0/24 111 (content: “|00 01 86 a5|”; msg: “external mountd access”;) 端口号:包括“any”端口, 静态端口定义、范 围、以及通过否定操作符。例如: Log udp any any -> 192.168.1.0 1:1024 Log tcp any :1024 ->192.168.1.0/24 500: 方向操作符: “->“ 表示规则所施加的流的方 向,”< >”表示双向操作符。 Activate和Dynamic规则: 将被Tagging所替代。
10
规则的语法
返回
例如: var MY_NET [192.168.1.0/24, 10.1.1.0/24] var MY_NET $ (MY_NET: -192.168.1.0/24) log tcp any any ->$ (MY_NET: ?MY_NET is udefined!) 23
22
规则的设计
一个规则使用的例子
记录所有登录到特定主机的数据包: Log tcp any any ->192.168.1.1/32 23 在第一条的基础上记录了双向的流量: Log tcp any any < >192.168.1.1/32 23 记录所有到达你的本地主机的icmp数据包 Log icmp any any < > 192.168.1.0/24 any 允许双向从你的机子到其他站点的http包: pass tcp any 80 < > 192.168.1.0/24 any
入侵检测技术分析
第15讲
北京信息科技大学
刘凯 liukai@
0
入侵检测技术分析
第11章
Snort 分析
1
课程安排
入侵检测概述 入侵检测技术分类 基于主机的入侵检测技术 基于网络的入侵检测技术 混合型的入侵检测技术 先进的入侵检测技术 分布式入侵检测架构 设计考虑及响应问题 入侵检测系统的评估与测试 Snort分析 入侵检测技术的发展趋势
15
常用攻击手段对应规则举例
针对特洛伊木马活动的规则: Alert UDP $INTERNAL 31337 -> $EXTERNAL any(msg: “IDS 189/trojan2active2back2orifice”;) 针对分布式拒绝服务(DDoS)攻击的规则: Alert tcp $EXTERNAL_NET any -> $HOME_NET 12754(msg:”DDOS mstream client to handler;content:”>”; flag: A+;referenc: cve, CAN22002 0138; classtype: attempted2dos;sid:247;rev:1;)
4
第十一章 Snort分析
Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort的规则 使用Snort构建入侵检测系统实例
5
11.4 Snort的规则
继续
规则的结构 规则的语法 预处理程序 输出插件 常用攻击手段对应规则举例 规则的设计
20
规则的设计
自已动手编写好的规则
当编写规则时,首先考虑的是效率和速度。 好的规则要包含content项 content规则是大小写敏感的(除非用户使用了 nocase选项)。考虑如下规则: Alert tcp any any ->192.168.1.0/24 21 (conent: “user root”; msg: “FTP root login”;)
通过上述方法可以方便地检出对网络安全政策 的违反行为,从而可以得知异常的网络访问。
19
规则的设计
对付新的攻击
首先获得某个攻击的描述,这个描述可以来自 某些安全列表(如bugtraq)。也可来自某些黑客网 站;或自己发现攻击描述。 分析该攻击描述与正常网络通信的区别。这一 步难度很大,如果设计不好,漏报和误报的可 能性就很大。 最后可以使用Snort的规则语法来描述这些差异, 相对上面要简单的多。
此外,还可以在规则文件中使用关键字include,允 许引用其它的规则文件
11
预处理程序
预处理程序代码在探测引擎被调用之前运行, 但在数据包译码之后。通过这个机制,数据包 可以通过额外的方法被修改或分析。使用 preprocessor关键字加载和配置预处理程序。指 令格式为:preprocessor<name>: <option>。预处 理模块的组成如下:
规则分类存放在规则文件中。规则文件是普通的文 本文件。可使用注释行。 Snort允许定义变量,并在规则中使用这些变量。如: var : <name> <value>