snort中文手冊pdf版 高清版

Snort是一個基于libpcap包的網(wǎng)絡(luò)監(jiān)控軟件，它的一些源代碼是從著名tcpdump軟件發(fā)展而來的，可以作為一個十分有效的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)，但如何使用呢？為此小編特別帶來了snort中文手冊pdf版下載，高清格式，無水印，詳細(xì)介紹了snort簡介，編寫snort規(guī)則，預(yù)處理程序和輸出插件四大部分。網(wǎng)友通過snort中文手冊的學(xué)習(xí)，可以詳細(xì)了解到snort工作模式，能實(shí)時對流量進(jìn)行分析并對網(wǎng)絡(luò)上的IP包登錄進(jìn)行測試等操作，適用于網(wǎng)絡(luò)管理員使用，歡迎免費(fèi)下載收藏。

基本介紹

snort作為一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS），在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動的角度檢測異常行為，進(jìn)而采取入侵的告警或記錄。從檢測模式而言，Snort屬于是誤用檢測，即對已知攻擊的特征模式進(jìn)行匹配。從本質(zhì)上來說，snort是基于規(guī)則檢測的入侵檢測工具，即針對每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫成檢驗(yàn)規(guī)則，從而形成一個規(guī)則數(shù)據(jù)庫。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。

Snort的結(jié)構(gòu)由4大軟件模塊組成，它們分別是：

（1）數(shù)據(jù)包嗅探模塊——負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對網(wǎng)絡(luò)進(jìn)行分；

（2）預(yù)處理模塊——該模塊用相應(yīng)的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”，如端口掃描，IP碎片等，數(shù)據(jù)包經(jīng)過預(yù)處理后才傳到檢測引擎；

（3）檢測模塊——該模塊是Snort的核心模塊。當(dāng)數(shù)據(jù)包從預(yù)處理器送過來后，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報警模塊；

（4）報警/日志模塊——經(jīng)檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。如果檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報警，這條報警信息會通過網(wǎng)絡(luò)、UNIXsocket、WindowsPopup（SMB）、SNMP協(xié)議的trap命令傳送給日志文件，甚至可以將報警傳送給第三方插件（如SnortSam），另外報警信息也可以記入SQL數(shù)據(jù)庫。

snort中文手冊內(nèi)容簡介

1、snort簡介

主要介紹了snort的三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)以及網(wǎng)絡(luò)入侵檢測系統(tǒng)。

2、編寫snort 規(guī)則

用大篇幅介紹了在開發(fā)snort時需要記住的原則、概念及語句。

3、預(yù)處理程序

闡述了用戶和程序員能在使用snort時將模塊化的插件方便地融入Snort進(jìn)行擴(kuò)展。

4、輸出插件

講解輸出插件是在Snort的告警和記錄子系統(tǒng)被調(diào)用時運(yùn)行這方面的知識。

snort系統(tǒng)特色

1）Snort是一個輕量級的入侵檢測系統(tǒng)它雖然功能強(qiáng)大，但是代碼卻極為簡潔、短小，其源代碼壓縮包不到2兆。

2）Snort的可移植性很好

Snort的跨平臺性能極佳，目前已經(jīng)支持Linux，Solaris，BSD，IRIX，HP-UX，windows等系統(tǒng)。采用插入式檢測引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機(jī)入侵檢測系統(tǒng)使用；與Netfilter結(jié)合使用，可以作為網(wǎng)關(guān)IDS（Gateway IDS）等系統(tǒng)指紋識別工具結(jié)合使用，可以作為基于目標(biāo)的IDS（Target—based IDS）。

3）Snort的功能非常強(qiáng)大

Snort具有實(shí)時流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速地檢測網(wǎng)絡(luò)攻擊，及時地發(fā)出報警。Snort的報警機(jī)制很豐富，例如：syslog、用戶指定的文件、一個UNIX套接字，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML（簡單網(wǎng)絡(luò)標(biāo)記語言，simple network markup language）把日志存放到一個文件或者適時報警。Snort能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配。現(xiàn)在Snort能夠分析的協(xié)議有TCP，UDP，ICMP等。將來，可能提供對ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測，例如：緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測、探測操作系統(tǒng)指紋特征的企圖等等。

Snort的日志格式既可以是Tcpdump式的二進(jìn)制格式，也可以解碼成ASCH字符形式，更加便于用戶尤其是新手檢查。使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫，當(dāng)前支持的數(shù)據(jù)庫包括： Postagresql、MySQL、oraCle、任何UNIXODBC數(shù)據(jù)庫等。使用TCP流插件（TcpStream），Snort可以對TCP包進(jìn)行重組。Snort能夠?qū)P包的內(nèi)容進(jìn)行匹配，但是對于TCP攻擊，如果攻擊者使用一個程序，每次發(fā)送只有一個字節(jié)的TCP包，完全可以避開Snort的模式匹配。而被攻擊的主機(jī)的TCP協(xié)議棧會重組這些數(shù)據(jù)，將其送給在目標(biāo)端口上監(jiān)聽的進(jìn)程，從而使攻擊包逃過Snort的監(jiān)視。使用TCP流插件，可以對TCP包進(jìn)行緩沖，然后進(jìn)行匹配，使Snort具備了對付上面這種攻擊的能力。使用SPADE（Statistical Packet Anomaly Detection Engine）插件，Snort能夠報告非正常的可疑包，從而對端口掃描進(jìn)行有效的檢測。

5）擴(kuò)展性能較好，對于新的攻擊威脅反應(yīng)迅速

作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，Snort有足夠的擴(kuò)展能力。它使用一種簡單的規(guī)則描述語言。最基本的規(guī)則只是包含四個域：處理動作、協(xié)議、方向、注意的端口。還有一些功能選項(xiàng)可以組合使用，實(shí)現(xiàn)更為復(fù)雜的功能。Snort支持插件，可以使用具有特定功能的報告、檢測子系統(tǒng)插件對其功能進(jìn)行擴(kuò)展。Snort當(dāng)前支持的插件包括：數(shù)據(jù)庫日志輸出插件、碎數(shù)據(jù)包檢測插件、端口掃描檢測插件、HTTP URI Normalization插件、XML插件等。同時，它支持多種格式的特征碼規(guī)則輸入方式，如數(shù)據(jù)庫、XML等。Snort的規(guī)則語言非常簡單，能夠?qū)π碌木W(wǎng)絡(luò)攻擊做出很快的反應(yīng)。發(fā)現(xiàn)新的攻擊后，可以很快根據(jù)其特征碼，寫出檢測規(guī)則。因?yàn)槠湟?guī)則語言簡單，所以很容易上手，節(jié)省人員的培訓(xùn)費(fèi)用。

6）多用途性

Snort系統(tǒng)不但可以作為入侵檢測系統(tǒng)，還可以作為數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器使用。

7）遵循公共通用許可證GPL

Snort遵循GPL，所以任何企業(yè)、個人、組織都可以免費(fèi)使用它作為自己的入侵檢測系統(tǒng)。但是，Snort系統(tǒng)也有很大的局限性，其系統(tǒng)結(jié)構(gòu)決定了其檢測規(guī)則只能使用落后的簡單模式匹配技術(shù)，適應(yīng)目前不斷出現(xiàn)的新的攻擊方式的能力有限：并且它在網(wǎng)絡(luò)數(shù)據(jù)流量很大的時候容易產(chǎn)生漏報和誤報，這對于目前的寬帶潮流是一個很大的缺點(diǎn)。