Snort规则选项详解
Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。
1. 规则头:
规则动作:
在snort中有五种动作:alert、log、pass、activate和dynamic.
1、Alert-使用选择的报警方法生成一个警报,然后记录(log)这个包。
2、Log-记录这个包。
3、Pass-丢弃(忽略)这个包。
4、activate-报警并且激活另一条dynamic规则。
5、dynamic-保持空闲直到被一条activate规则激活,被激活后就作为一条log规则执行。
协议类型:
Snort当前分析可疑包的ip协议有四种:tcp、udp、icmp和ip。将来可能会更多,例如ARP、IGRP、GRE、OSPF、RIP、IPX等。
地址:
关键字"any"可以被用来定义任何地址。
地址就是由直接的数字型ip地址和一个cidr块组成的。Cidr块指示作用在规则地址和需要检查的进入的任何包的网络掩码。/24表示c类网络,/16表示b类网络,/32表示一个特定的机器的地址。否定操作符用"!"表示。
你也可以指定ip地址列表,一个ip地址列表由逗号分割的ip地址和CIDR块组成,并且要放在方括号内“[”,“]”。此时,ip列表可以不包含空格在ip地址之间。
例如:
alert tcp ![192.168.1.0/24,10.1.1.0/24] any -> [192.168.1.0/24,10.1.1.0/24] 111 (content: "|00 01 86 a5|"; msg: "external mountd access";)
变量定义:
var MY_NET 192.168.1.0/24
alert tcp any any -> $MY_NET any (flags: S; msg: "SYN packet";)
注:"$" 操作符之后定义变量;
"?" 和"-"可用于变量修改操作符;
$var - 定义变量。
$(var) - 用变量"var"的值替换。
$(var:-default) - 用变量"var"的值替换,如果"var"没有定义用"default"替换。
$(var:?message) - 用变量"var"的值替换或打印出错误消息"message"然后退出。
例如:
var MY_NET $(MY_NET:-192.168.1.0/24)
log tcp any any -> $(MY_NET:?MY_NET is undefined!) 23
端口号:
端口号可以用几种方法表示,包括"any"端口、静态端口定义、范围、以及通过否定操作符。
静态端口定义表示一个单个端口号,例如111表示portmapper,23表示telnet,80表示http等等。端口范围用范围操作符":"表示。范围操作符可以有数种使用方法,如下所示:
log udp any any -> 192.168.1.0/24 1:1024
记录来自任何端口的,目标端口范围在1到1024的udp流
log tcp any any -> 192.168.1.0/24 :6000
记录来自任何端口,目标端口小于等于6000的tcp流
log tcp any :1024 -> 192.168.1.0/24500:
记录来自任何小于等于1024的特权端口,目标端口大于等于500的tcp流
方向操作符:
方向操作符"->"表示规则所施加的流的方向。方向操作符左边的ip地址和端口号被认为是流来自的源主机,方向操作符右边的ip地址和端口信息是目标主机,还有一个双向操作符"<>"。
2. 规则选项:
规则选项组成了snort入侵检测引擎的核心,既易用又强大还灵活。所有的snort规则选项用分号";"隔开。规则选项关键字和它们的参数用冒号":"分开。例如:
msg - 在报警和包日志中打印一个消息。
flags -检查tcp flags的值。
content - 在包的净荷中搜索指定的样式。
Content关键字的选项数据比较复杂;它可以包含混合的文本和二进制数据。二进制数据一般包含在管道符号中("|"),表示为字节码(bytecode)。字节码把二进制数据表示为16进制数字,是描述复杂二进制数据的好方法。例如:content: "|90C8 C0FF FFFF|/bin/sh";
字符: ; \ " 在content选项内容中出现时必须被转义(有两个方法:1. 使用前导“\”字符 2. 使用字节的二进制表示方式,比如用“|3A|”表示“:”):
内容匹配项的默认是区分大小写的;
offset - content选项的修饰符,设定开始搜索的位置。
depth - content选项的修饰符,设定搜索的最大深度。
nocase - 指定对content字符串大小写不敏感。
distance - content选项的修饰符,设定模式匹配间的最小间距;
distance关键字是content关键字的一个修饰词,确信在使用content时模式匹配间至少有N个字节存在。它被设计成在规则选项中和其他选项联合使用。
格式:distance: ;
例子:
alert tcp any any -> any any (content: "2 Patterns"; content: "ABCDE"; content: "EFGH"; distance: 1;) Within - content选项的修饰符,设定模式匹配间的最大间距;
Winthin关键字是content关键字的一个修饰词,确保在使用content时模式匹配间至多有N个字节存在。它被设计成在规则选项中和distance选项联合使用。
格式:within: ;
例子:
alert tcp any any -> any any (content: "2 Patterns"; content: "ABCDE"; content: "EFGH"; within: 10;)
byte_test - 数字模式匹配。
把数据包净载中特定位置的字串转换为数值类型与指定的值进行比较。
格式:byte_test: , , , [[relative],[big],[little],[string],[hex],[dec],[oct]]
bytes_to_convert 从数据包取得的字节数。
operator 对检测执行的操作(<,>,=,!)。
value 和转换后的值相测试的值。
offset 开始处理的字节在负载中的偏移量。
relative 使用一个相对于上次模式匹配的相对的偏移量。
big 以网络字节顺序处理数据(缺省)。
little 以主机字节顺序处理数据。
string 数据包中的数据以字符串形式存储。
hex 把字符串数据转换成十六进制数形式。
dec 把字符串数据转换成十进制数形式。
oct 把字符串数据转换成八进制数形式。
例子:
alert udp $EXTERNAL_NET any -> $HOME_NET any (msg:"AMD procedure 7 plog overflow "; content: "|00 04 93 F3|"; content: "|00 00 00 07|"; distance: 4; within: 4; byte_test: 4,>, 1000, 20, relative;)
uricontent - 用于匹配正规化处理后URI字段。
这个关键字允许只在一个请求的URI(URL)部分进行搜索匹配。它允许一条规则只搜索请求部分的攻击,这样将避免服务数据流的错误报警。关于这个关键字的参数的描述可以参考content关键字部分。这个选项将和HTTP解析器一起工作。(只能搜索第一个“/”后面的内容)。例如:uricontent:".emf";
Flow
这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。
选项:
to_client 触发上服务器从A到B的响应。
to_server 触发客户端上从A到B的请求。
from_client 触发客户端上从A到B的请求。
from_server 触发服务器上从A到B的响应。
established只触发已经建立的TCP连接。
stateless 不管流处理器的状态都触发(这对处理那些能引起机器崩溃的数据包很有用。
no_stream 不在重建的流数据包上触发。
only_stream 只在重建的流数据包上触发。
格式:flow:[to_client|to_server|from_client|from_server|established|stateless|no_stream|only_stream]
reference - 外部攻击参考ids。
这个关键字允许规则包含一个外面的攻击识别系统。这个插件目前支持几种特定的系统,它和支持唯一的URL一样好。这些插件被输出插件用来提供一个关于产生报警的额外信息的连接。
sid - snort规则id。
这个关键字被用来识别snort规则的唯一性。这个信息允许输出插件很容易的识别规则的ID号。
sid 的范围是如下分配的:
<100 保留做将来使用
100-1000,000 包含在snort发布包中
>1000,000 作为本地规则使用
rev - 规则版本号。
这个关键字是被用来识别规则修改的。修改,随同snort规则ID,允许签名和描述被较新的信息替换。
classtype - 规则类别标识。
这个关键字把报警分成不同的攻击类。通过使用这个关键字和使用优先级,用户可以指定规则类中每个类型所具有的优先级。
Pcre:
pcre选项允许用户使用与PERL语言相兼容的正则表达式。相关正则表达式的具体细节参看PCRE的Web站点:https://www.doczj.com/doc/881922488.html,
pcre:[!]"(/
在表达式后的修饰符设置编译正则表达式的一些标志。
Perl兼容的修饰符:
|i| 对大小不敏感
|s| 在点转义符号中包含换行符,一般情况下被匹配的缓冲区是作为一个大字符串
|m| 的,^和$分别匹配串头和串尾。当设置了m修饰符,^和$匹配跟紧跟换行符和紧先导于换行符的情况
|x| 要匹配的模式中的空格符被忽略,除非是被转义过的或在一个字符集中。
PCRE兼容的修饰符:
|A| 模式必须在缓冲区的开头匹配到(同^)设置指定的$必须匹配到缓冲区末尾。如果不用E | |E| 修饰符,$则可能只匹配到串尾之前换行符。
|G| 在默认情况下不使用“贪婪”模式,只有在模式后面跟了“?”字符的情况下贪婪。
Snort特定的修饰符:
|R| 此匹配相对于前一个匹配成功串尾开始(类似于distance:0)
|U| 匹配解码后的URI缓冲区(类似于uricontent
|B| 不使用解码后的缓冲区(类似于rawbytes)
修饰符R和B不能同时使用。
例如:alert ip any any -> any any (pcre:"/BLAH/i";)
例子:
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT PNG large colour depth download attempt"; flow:from_server,established; content:"|89|PNG|0D 0A1A0A|"; content:"IHDR"; within:8; byte_test:1,>,16,8,relative;classtype:attempted-user; sid:3134; rev:3; reference:url,https://www.doczj.com/doc/881922488.html,/technet/security/bulletin/MS05-009.mspx; )
alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"NETBIOS SMB Trans Max Param/Count DOS attempt"; flow:established,to_server; content:"|00|"; depth:1; content:"|FF|SMB%"; within:5; distance:3; byte_test:1,!&,128,6,relative; pcre:"/^.{27}/sR"; content:"|00 00 00 00|"; within:4;
distance:5;reference:url,https://www.doczj.com/doc/881922488.html,/common/showdoc.php?idx=262;classtype:protocol-comman d-decode; sid:2101; rev:15;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"SPYWARE-PUT Hijacker shop at home select installation in progress"; flow:to_server,established; uricontent:"GRInstallCL.asp"; nocase; uricontent:"E="; nocase; uricontent:"MID="; nocase; uricontent:"Refer="; nocase; uricontent:"WGR="; nocase; uricontent:"Prev="; nocase; uricontent:"sGUID="; nocase; classtype:misc-activity; sid:5810; rev:1;)
正则表达式元字符的解释:
\:转移字符,将后一个字符标记为一个特殊字符
^:匹配输入字串的开始位置
$:匹配输入字串的结束位置
*:匹配前面的子表达式0次或多次
+:匹配前面的子表达式1次或多次
?:匹配前面的子表达式0次或1次
{n,m}:匹配至少n次,至多m次
.:匹配到除"\n"之外的所有单个字符
[]:表示一个字符集,可以单个列出,如[amk$];也可以加一个"-"表示一个字符范围,如[a-z];匹配任意一个字符即可;也可以用补集来匹配不在区间范围内的字符。其做法是把"^"作为类别的首个字符;其它地方的"^"只会简单匹配"^"字符本身,例如[^5] 将匹配除"5" 之外的任意字符。
例如:
pcre:"/^X-Mailer\x3A[^\r\n]*mPOP\s+Web-Mail/smi";
pcre:"/^Host\x3A[^\r\n]*e2give\.com/smi";
pcre:"/^User-Agent\x3A[^\r\n]*NSISDL/smi";
pcre:"/^Host\x3A[^\r\n]*push\x2Ecom/smi";
...
注:\x 后为十六进制转义值
\r 匹配一个回车符
\n 匹配一个换行符
\s 匹配任何空白字符
\d 匹配任何十进制数;它相当于类[0-9]。
\D 匹配任何非数字字符;它相当于类[^0-9]。
\s 匹配任何空白字符;它相当于类[ \t\n\r\f\v]。
\S 匹配任何非空白字符;它相当于类[^ \t\n\r\f\v]。
\w 匹配任何字母数字字符;它相当于类[a-zA-Z0-9_]。
\W 匹配任何非字母数字字符;它相当于类[^a-zA-Z0-9_]。
Windows平台下基于snort的入侵检测系统安装详解 序言:最近公司网络总是不间断出现点问题,也搭建了一些流量监控服务器进行监控和分析;也一直在关注网络安全方面的知识。看到snort IDS是一个开源的软件,突然想学习下。就有了搭建Windows下Snort IDS的想法。一下内容参考网络上的资料。 1.软件准备 Apache,php,mysql,winpcap,snort,acid,adodb,jpgraph等 2.软件安装 window平台:windows xp sp3 (1)apache的安装 一路下一步,具体配置如下图:
安装完成后验证web服务是否运行正常 (2)mysql安装
(3)php安装 解压php压缩包到C盘下并命名为php 复制c:\php\phpini-dist到c:\windows下并重命名为php.ini 复制c:\php\php5ts.dll,c:\php\libmysql.dll 到 c:\windows\system32下复制c:\php\ext\php_gd2.dll到c:\windows\system32下 修改 c:\apache\conf\httpd配置文件 添加LoadModule php5_module c:/php/php5apache2_2.dll AddType application/x-httpd-php .php 重启apache服务 在c:\apache\htdocs\下新建test.php http://x.x.x.x/test.php验证php能否工作
<< Back to https://www.doczj.com/doc/881922488.html, Snort 中文手册 摘要 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。(2003-12-11 16:39:12) Snort 用户手册 第一章 snort简介 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。 嗅探器 所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的 控制台上。首先,我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上,只需要输入下面的命令: ./snort -v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如
./snort -vd 这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息,就使用下面的命令: ./snort -vde 注意这些选项开关还可以分开写或者任意结合在一块。例如:下面的命令就和上面最后的一条命令等价: ./snort -d -v –e 数据包记录器 如果要把所有的包记录到硬盘上,你需要指定一个日志目录,snort 就会自动记录数据包: ./snort -dev -l ./log 当然,./log目录必须存在,否则snort就会报告错误信息并退出。当snort在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以数据包目的主机的IP地址命名,例如:192.168.10.1 如果你只指定了-l命令开关,而没有设置目录名,snort有时会使用远程主机的IP地址作为目录,有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志,你需要给出本地网络: ./snort -dev -l ./log -h 192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。 如果你的网络速度很快,或者你想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中:
基于SNORT的入侵检测系统的分析 1. 绪论 1.1 研究目的与意义 随着网络技术的飞速发展,其应用领域也在不断的扩展,网络技术的应用已将从传统的小型业务系统逐渐扩展到大型的关键业务系统中,比如说金融业务系统、电子商务系统等等第。然而,随着网络技术的迅速发展,网络安全问题也日益突出。比如说金融系统、政府信息系统等受到外界的攻击与破坏,信息容易被窃取和修改等网络安全问题越来越严重。所以说网络安全问题已经成为各国政府、企业以及广大网络用户关心的问题之一。 任何试图破坏网络活动正常化的问题都可以称为网络安全问题。过去保护网络安全做常用、最传统的方法就是防火墙,但是防护墙只是一种被动防御性的网络安全工具,随着科学技术的不断发展,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,在这种情况下,逐渐产生了入侵检测系统,入侵检测系统不仅能够为网络安全提供及时的入侵检测以及采取响应的防护手段,它还可以识别针对计算机或网络资源的恶意企图和行为,并对此做出反应,它提供了对系统受到内部攻击、外部攻击和误操作的实时保护,能够帮助系统对付网络攻击。入侵检测系统能很好的弥补防火墙的不足,是防火墙的合理完善。 入侵检测系统具有以下几个特点: 1)从系统的不同环节收集各种信息 2)分析收集到的信息并试图寻找入侵信息活动的特征 3)自动对检测到的行为做出响应 4)记录并报告检测结果 入侵检测系统的主要功能有 1)监测并分析用户和系统的活动 2)核查系统配置及其漏洞
3)评估系统重要资源和数据文件是否完整 4)识别己知的入侵行为 5)统计分析不正常行为 6)根据操作系统的管理日志,识别违反安全策略的用户活动 入侵检测技术是一种积极主动地安全防护技术,其核心在于它的检测引擎,如何实现高效快速的检测,是入侵检测技术的一个重要研究重点。目前入侵检测技术主要分为两大类,分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主要是针对网络的攻击,因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包,使用相应的软件来提取入侵者所发出的攻击包的特征,然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配,如果在特征库中检测到相应的攻击包,就会发出入侵报警。在与特征库进行匹配的过程中,用到的最主要的技术就是模式匹配,所以说在入侵检测系统中模式匹配是一个研究重点。在国内,随着网络应用的日益增长,特别是那些关键部门对网络的应用使得网络安全问题至关重要,迫切需要高效的入侵检测产品来确保网络安全,但是,由于我国的入侵检测技术在网络安全领域的研究起步较晚,还不够成熟和完善,需要投入较多的精力来对这方面进行探索研究,特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域,这对抑制黑客攻击和网络病毒的传播,提高网络安全具有重要意义。 1.2 入侵检测技术的不足 入侵检测技术作为安全技术的一个重要领域,正在成为网络安全研究的热点,对入侵检测的理论研究和实际应用中还存在着许多问题,需要我们继续深入研究和探索,具体来说,入侵检测在以下方面有待继续发展: 1)阻断入侵的能力低 虽然入侵检测系统有发现入侵、阻断连接的作用。提供对内部攻击、外部攻击和误操作的实时保护。但它的工作重点是放在对入侵行为的识别。为提高网络安全,有效识别黑客入侵,必须提高阻断入侵的能力。可考虑将入侵检测系统与防火墙联合起来,配置好 IDS 的安全策略,指定响应对象防火墙的地址及密钥,由 IDS 发起与防火墙的连接,建立正常连接后,IDS 产生新的安全事件通知防火墙,防火墙随之做出安全策略的相应调整,使防护体系由静态到动态,从源头上彻底切断入侵行为。提升了防火墙的实时反应能力,增强了 IDS 的阻断能力。
IDS-Snort+ACID搭建流程 >ACID入侵数据库分析控制台,通过WEB界面来查看snort数据的工具。为了使用ACID,用户系统中必须安装Snort,Apache,MYSQL,PHP。他们之间的关系如下: 1:当入侵者进入用户的网络后,snort根据规则检测到入侵行为后,根据其配置文件/etc/ snort/snort.conf的配置,将信息记录到MYSQL数据库中。 2:用户使用浏览器连接到IDS服务器,请求ACID页面。 3:PHP连接到数据库,提取信息。 4:Apache响应浏览器,用户就可以在浏览器中查看,操作等。 将Apache MYSQL PHP装上 安装ACID 以上软件包的作用: Snort主程序,不用说了。 安装过程中,会创建: /etc/snort存放规则和配置文件 /var/log/snort存放日志 /usr/share/doc/snort-xxx snort文档文件README就在这里。
/usr/sbin/snort-plain主程序文件 /etc/rc.d/init.d/snortd start restart stop脚本。 Snort-mysql代替系统snort的主程序文件,使snort可以支持mysql数据库。 Php-acid ACID软件包。里面一堆的以PHP写的网页。 Php-adodb跟PHP访问数据库有关,在/ar/www/adodb。 Php-jpgraph JPG图像函数库,ACID采用它来创建入侵数据的图表。分析图就是靠它来创建的,使用户能更直观的去分析。/var/www/jpgraph-xxx 安装完后创建一个PHP测试页,看看APACHE和PHP安装是否成功。 /var/www/html Vi index.php 配置MYSQL 启动MYSQL,service mysqld start 会提示需要设置root密码 Mysqladmin–u root password test 创建两个库snort_log snort_archive
S n o r t详细安装步骤Prepared on 21 November 2021
Snort使用报告 一、软件安装 安装环境:windows 7 32bit 二、软件:Snort 、WinPcap 规则库: 实验内容 熟悉入侵检测软件Snort的安装与使用 三、实验原理 Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS 四.安装步骤 1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap. 本次实验使用的具体版本是Snort 、和WinPcap 首先点击Snort安装 点击I Agree.同意软件使用条款,开始下一步,选择所要安装的组件: 全选后,点 击下一步: 选择安装的 位置,默认 的路径为 c:/Snort/, 点击下一 步,安装完 成。软件跳 出提示需要 安装 WinPcap 以 上 2.安装 WinPcap 点击 WinPcap安装包进行安装 点击下一步继续: 点击同意使用条款: 选择是否让WinPcap自启动,点击安装: 安装完成点击完成。 此时为了看安装是否成功,进入CMD,找到d:/Snort/bin/如下图:(注意这个路径是你安装的路径,由于我安装在d盘的根目录下,所以开头是d:)
输入以下命令snort –W,如下显示你的网卡信息,说明安装成功了!别高兴的太早,这只是安装成功了软件包,下面还要安装规则库: 3.安装Snort规则库 首先我们去Snort的官网下载Snort的规则库,必须先注册成会员,才可以下载。具体下载地址为,往下拉到Rules,看见Registered是灰色的,我们点击Sign in: 注册成功后,返回到这个界面就可以下载了。下载成功后将压缩包解压到 Snort的安装文件夹内:点击全部是,将会替换成最新的规则库。 4.修改配置文件 用文件编辑器打开d:\snort\etc\,这里用的是Notepad++,用win自带的写字板也是可以的。找到以下四个变量var RULE_PATH,dynamicpreprocessor,dynamicengine,alert_syslog分别在后面添加如下路径: var RULE_PATH d:\snort\rules var SO_RULE_PATH d:\snort\so_rules var PREPROC_RULE_PATH d:\snort\preproc_rules dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicpreprocessor file d:\snort\lib\snort_dynamicpreprocessor\ dynamicengine d:\snort\lib\snort_dynamicengine\ output alert_syslog: host=:514, LOG_AUTH LOG_ALERT 到现在位置配置完成,同样回到cmd中找到d:/Snort/bin/运行snort –v –i1(1是指你联网的网卡编号默认是1)开始捕获数据,如下: 运行一段时间后按Ctrl+c中断出来可以看见日志报告:
实验7 基于snort的IDS配置实验 1.实验目的 通过配置和使用Snort,了解入侵检测的基本概念和方法,掌握入侵检测工具的使用方法,能够对其进行配置。 2.实验原理 2.1 入侵检测基本概念 入侵检测系统(Intrusion Detection System简称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和是否存在入侵的迹象,进而达到提示入侵、预防攻击的目的。入侵检测系统作为一种主动防护的网络安全技术,有效扩展了系统维护人员的安全管理能力,例如安全审计、监视、攻击识别和响应的能力。通过利用入侵检测系统,可以有效地防止或减轻来自网络的威胁,它已经成为防火墙之后的又一道安全屏障,并在各种不同的环境中发挥关键作用。 1.入侵检测系统分类 根据采集数据源的不同,IDS可分为基于网络的入侵检测系统(Network-based IDS,简称NIDS)和基于主机的入侵检测系统(Host-based IDS,简称HIDS)。 NIDS使用监听的方式,在网络通信的原始数据包中寻找符合网络入侵模版的数据包。NIDS的网络分析引擎放置在需要保护的网段内,独立于被保护的机器之外,不会影响这些机器的CPU、I/O与磁盘等资源的使用,也不会影响业务系统的性能。NIDS一般保护的是整个网段。 HIDS安装在被保护的机器上,在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS 安装在需要保护的主机系统上,这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性,它一般保护的是其所在的系统。 NIDS和HIDS各有优缺点,联合使用这两种方式可以实现更好的检测效果。 2.入侵检测系统的实现技术 入侵检测系统的实现技术可以简单的分为两大类:基于特征的检测(Signature-based)和基于异常的检测(Anomaly-based)。 基于特征的检测技术主要包括模式匹配和协议分析两种检测方法: 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较,以发
Snort 用户手册 Snail.W 第一章 snort简介 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先,我们从最基本的用法入手。如果你只要把TCP/IP信息打印在屏幕上,只需要输入下面的命令:./snort -v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的信息。如果你要看到应用层的数据,可以使用:./snort -vd 这条命令使snort在输出信息的同时显示包的数据信息。如果你还要显示数据链路层的信息,就使用下面的命令:./snort -vde 注意这些选项开关还可以分开写或者任意结合在一块。例如:下面的命令就和上面最后的一条命令等价:./snort -d -v –e 数据包记录器如果要把所有的包记录到硬盘上,你需要指定一个日志目录,snort就会自动记录数据包:./snort -dev -l ./log 当然,./log目录必须存在,否则snort就会报告错误信息并退出。当snort在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以数据包目的主机的IP地址命名,例如:192.168.10.1 如果你只指定了-l命令开关,而没有设置目录名,snort有时会使用远程主机的IP地址作为目录,有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志,你需要给出本地网络:./snort -dev -l ./log -h 192.168.1.0/24 这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。如果你的网络速度很快,或者你想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中:./snort -l ./log -b 注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络,因为所有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项,因为数据包中的所有容都会被记录到日志文件中。你可以使用任何支持tcpdump二进制格式的嗅探器程序从这个文件中读出数据包,例如:tcpdump或者Ethereal。使用-r功能开关,也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件。例如:如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上,可以输入下面的命令:./snort -dv -r packet.log 在日志包和入侵检测模式下,通过BPF(BSD Packet Filter)接口,你可以使用许多方式维护日志文件中的数据。例如,你只想从日志文件中提取ICMP 包,只需要输入下面的命令行:./snort -dvr packet.log icmp 网络入侵检测系统snort最重要的用途还是作为网络入侵检测系统(NIDS),使用下面命令行可以启动这种模式:./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf snort.conf是规则集文件。snort会对每个包和规则集进行匹配,发现这样的包就采取相应的行动。如果你不指定输出目录,snort就输出到/var/log/snort目录。注意:如果你想长期使用snort作为自己的入侵检测系统,最好不要使用-v选项。因为使用这个选项,使snort向屏幕上输出一些信息,会大大降低snort的处理速度,从而在向显示器输出的过程中丢弃一些包。此外,在绝大多数情况下,也没有必要记录数据链路层的,所以-e选项也可以不用:./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 这是使用snort作为网络入侵检测系统最基本的形式,日志符合规则的包,以ASCII形式保存在有层次的目录结构中。网络入侵检测模式下的输出选项在NIDS模式下,有很多的方式来配置snort的输出。在默认情况下,snort以ASCII格式记录日志,使用full报警机制。如果使用full报警机制,snort会在之后打印报警消息。如果你不需要日志包,可以使用-N选项。 snort有6种报警机制:full、fast、socket、syslog、smb(winpopup)和none。其中有4个可以在命令行
用法: snort -[options]
实验:入侵检测系统(Snort)的安装与配置 一、实验目的 学会WINDOWS下SNORT的安装与配置 二、实验环境 WinXP虚拟机 三、实验步骤与结果 一.在“我的电脑”中C盘中建立文件夹“zhangxiaohong” 二.安装WinPcap,运行,默认安装。 三.安装mysql,运行5.0.22,选择自定义安装选择安装路径C:\zhangxiaohong\mysql 下,安装时注意:端口设置为3306(以后要用到),密码本实验设置成123 四.安装apache 1.运行 2.2.4,安装到c:\zhangxiaohong\Apache 2.安装Apache,配置成功一个普通网站服务器 3.出现Apache HTTP Server 2.0.55的安装向导界面,点“Next”继续 4.确认同意软件安装使用许可条例,选择“I accept the terms in the license agreement”,点“Next”继续 5.将Apache安装到Windows上的使用须知,请阅读完毕后,按“Next”继续 6.选择安装类型,Typical为默认安装,Custom为用户自定义安装,我们这里选 择Custom,有更多可选项。按“Next”继续 7.出现选择安装选项界面,如图所示,左键点选“Apache HTTP Server 2.0.55”, 选择“ This feature, and all subfeatures, will be installed on local hard
drive.” 8.即“此部分,及下属子部分内容,全部安装在本地硬盘上”。点选 “Change...”,手动指定安装目录。 9.我这里选择安装在“C:\zhangxiaohong\Apache”,各位自行选取了,一般建 议不要安装在操作系统所在盘,免得操作系统坏了之后,还原操作把Apache配置文件也清除了。选“OK”继续。 10.返回刚才的界面,选“Next”继续。 11.好了现在我们来测试一下按默认配置运行的网站界面,在IE地址栏打 “.0.1”,点“转到”,就可以看到如下页面,表示Apache服务器已安装成功。 12. 五.安装和配置PHP53、安装winpcap 1.解压php-5. 2.5-Win32到c:\zhangxiaohong\php 2.添加gd图形库支持 复制c:\zhangxiaohong\php\和c: \zhangxiaohong\php\文件到C:\Windows\system32复制c: \zhangxiaohong\php\到C:\Windows文件夹并重命名为, 修改,分别去掉“extension=”和“extension=”前的分号, 3.并指定extension_dir="c:\zhangxiaohong\php\ext", 4.同时复制c:\zhangxiaohong\php\ext下的与到C:\Windows\system32 在C:\zhangxiaohong\apache\conf\中添加 LoadModule php5_module c:/zhangxiaohong AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps AddType application/x-httpd-php .html AddType application/x-httpd-php .htm 5.重启Apache服务 在C:\zhangxiaohong\apache\htdocs目录下新建(文件内容为:
Snort使用报告 一、软件安装 安装环境:windows 7 32bit 软件:Snort 2.9.5.5、WinPcap 4.1.1 规则库: snortrules-snapshot-2970.tar.gz 二、实验内容 熟悉入侵检测软件Snort的安装与使用 三、实验原理 Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS
四.安装步骤 1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap. 本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3 首先点击Snort安装 点击I Agree.同意软件使用条款,开始下一步,选择所要安装的组件: 全选后,点击下一步:
选择安装的位置,默认的路径为c:/Snort/,点击下一步,安装完成。软件跳出提示需要安装WinPcap 4.1.1以上 2.安装WinPcap 点击WinPcap安装包进行安装 点击下一步继续:
点击同意使用条款: 选择是否让WinPcap自启动,点击安装:
安装完成点击完成。 此时为了看安装是否成功,进入CMD,找到d:/Snort/bin/如下图:(注意这个路径是你安装的路径,由于我安装在d盘的根目录下,所以开头是d:) 输入以下命令snort –W,如下显示你的网卡信息,说明安装成功了!别高兴的太早,这只是安装成功了软件包,下面还要安装规则库:
任课教师:舒挺,张芳 《计算机网络》 (2013-2014学年第2学期) 实 验 报 告 学号:2012329620006 姓名:章钰沁 班级:12级计算机科学与技术(1)班
实验三:使用SNORT观察网络数据包和TCP链接 一、实验内容和要求 ●学会安装使用自由软件SNORT ●截获以太网数据包,并分析和描述TCP连接的三个阶段。 ●截获ARP协议数据包并进行分析 二、实验步骤 第一部分安装snort 1、下载snort-2_0_4.exe 网址:https://www.doczj.com/doc/881922488.html,/dl/binaries/win32/snort-2_0_4.exe 2、下载WinPcap_3_0.exe http://winpcap.polito.it/install/bin/WinPcap_3_0.exe 3、安装snort和winpcap 4、打开DOS命令窗口COMMAND。进入snort的安装目录。Cd /snort/bin 5、执行snort –ev 出现以下屏幕,表示安装完成并能正常使用
6、用ctrl +C结束。 7、观察一个完整的TCP连接。 第二部分 1、在snort的工作目录中使用命令 snort –dev –l /snort/log 开始snort并将相应的log文件记录在log目录下。 2、另开一个命令窗口,键入命令 FTP https://www.doczj.com/doc/881922488.html, 3、观察ftp命令窗口 4、打开相应的log目录 5、查找到相应的TCP连接,并用文本分析器打开。对照ftp命令窗口中出现的结果,分析刚 才的TCP连接过程。
第三部分 观察ARP协议 1、同二,打开SNORT并记录。 2、在另一命令窗口执行以下命令: arp –a 观察高速缓存 telnet 192.168.0.3 discard 注:和一个在ARP缓存中不存在的主机进行telnet连接。 quit 3、quit 4、分析所捕获的数据包,并且写出arp的全过程。
基于Snort的入侵检测系统 用Snort,Apache,MySQL,PHP及ACID构建高级IDS
第一章入侵检测系统及Snort介绍 在当今的企业应用环境中,安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及。目前已经存在一些保护网络架构及通信安全的方法,例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检测是最近几年出现的相对较新的网络安全技术。利用入侵检测技术,我们可以从已知的攻击类型中发现是否有人正在试图攻击你的网络或者主机。利用入侵监测系统收集的信息,我们可以加固自己的系统,及用作其他合法用途。目前市场中也有很多弱点检测工具,包括商品化的和开放源码形式的,可以用来评估网络中存在的不同类型的安全漏洞。 一个全面的安全系统包括很多种工具: ●防火墙:用来阻止进入及走出网络的信息流。防火墙在商业化产品和开放源 码产品中都有很多。最著名的商业化防火墙产品有Checkpoint (.checkpoint.), Cisco (.cisco.)及Netscreen(.netscreen.)。最著名的开放源码防火墙是Netfilter/Iptables(https://www.doczj.com/doc/881922488.html,)。 ●入侵检测系统(IDS):用来发现是否有人正在侵入或者试图侵入你的网络。 最著名的IDS是Snort,可以在https://www.doczj.com/doc/881922488.html,下载。 ●弱点评估工具:用来发现并堵住网络中的安全漏洞。弱点评估工具收集的信 息可以指导我们设置恰当的防火墙规则,以挡住恶意的互联网用户。现在有许多弱点评估工具,比如Nmap(https://www.doczj.com/doc/881922488.html,/)和Nessus(https://www.doczj.com/doc/881922488.html,/). 以上这些工具可以配合使用,交互信息。一些产品将这些功能捆绑在一起,形成一个完整的系统。
安装环境 主要硬件: ProLiant DL365 G1 2200MHZ*2 1024MB667MHZ * 4 主要软件: Windows Server 2003 + Sp2 MS SQL 2000 + Sp4 相关软件及下载地址: Apache_2.2.6-win32-x86 https://www.doczj.com/doc/881922488.html, Php-5.2.4-Win32 https://www.doczj.com/doc/881922488.html,/downloads.php Snort_2_8_0_Installer https://www.doczj.com/doc/881922488.html,/dl/binaries/win32/ WinPcap_4_0_1 http://winpcap.polito.it/ base-1.3.8 https://www.doczj.com/doc/881922488.html,/project/showfiles.php?group_id=103348 ActivePerl-5.6.1.635-MSWin32-x86 adodb502a https://www.doczj.com/doc/881922488.html,/project/showfiles.php?group_id=42718 jpgraph-2.2 http://www.aditus.nu/jpgraph/jpdownload.php php5.2-win32-200710150430 https://www.doczj.com/doc/881922488.html,/ eventwatchnt_v233 oinkmaster-2.0 https://www.doczj.com/doc/881922488.html,/download.shtml 配置过程 先看一下软件在安装的过程中需要选择安装路径或解压缩路径时的大致目录结构 D:\win-ids>tree Folder PATH listing Volume serial number is 0006EE50 9C9B:B24B D:. +---adodb +---apache \_____D:\win-ids\apache\htdocs\base +---eventwatchnt +---oinkmaster +---perl +---php +---snort 1 安装apache 1.1: 设置server information,根据自己的实际情况进行修改 https://www.doczj.com/doc/881922488.html, https://www.doczj.com/doc/881922488.html, admin@https://www.doczj.com/doc/881922488.html, “For all user on port 80…” 1.2安装路径 d:\win-ids\apache 完毕后应该可以看到apache在系统托盘上的图标了,在浏览器中打开http://127.0.0.1看是否有成功页面的提示?
Snort安装与配置 Snort是免费NIPS及NIDS软件,具有对数据流量分析和对网络数据包进行协议分析处理的能力,通过灵活可定制的规则库(Rules),可对处理的报文内容进行搜索和匹配,能够检测出各种攻击,并进行实时预警。 Snort支持三种工作模式:嗅探器、数据包记录器、网络入侵检测系统,支持多种操作系统,如Fedora、Centos、FreeBSD、Windows等,本次实训使用Centos 7,安装Snort 2.9.11.1。实训任务 在Centos 7系统上安装Snort 3并配置规则。 实训目的 1.掌握在Centos 7系统上安装Snort 3的方法; 2.深刻理解入侵检测系统的作用和用法; 3.明白入侵检测规则的配置。 实训步骤 1.安装Centos 7 Minimal系统 安装过程不做过多叙述,这里配置2GB内存,20GB硬盘。 2.基础环境配置 根据实际网络连接情况配置网卡信息,使虚拟机能够连接网络。 # vi /etc/sysconfig/network-scripts/ifcfg-eno16777736 TYPE="Ethernet" BOOTPROTO="static" DEFROUTE="yes" IPV4_FAILURE_FATAL="no" NAME="eno16777736" UUID="51b90454-dc80-46ee-93a0-22608569f413" DEVICE="eno16777736" ONBOOT="yes" IPADDR="192.168.88.222" PREFIX="24" GATEWAY="192.168.88.2" DNS1=114.114.114.114 ~
Snort简明使用手册2007-03-22 22:28Snort2.6——USAGE(中文) 1.0 开始使用snort Snort不是很难使用,但是也存在着很多的命令行选项需要掌握,并且它们中许多很多时候并不能一起使用。这个文件的目的就是使新人能够更简单的使用snort。 在我们进行下一步之前,有一些关于snort的基本概念需要了解。snort能够配置成三种模式运行: 嗅探器(sniffer),包记录器(packet logger)和网络入侵检测系统(NIDS)。嗅探模式(sniffer mode)简单的读取网络中的数据包,并以连续的数据流显示在控制台上。包记录模式(packet logger mode)把捕获的数据包记录在磁盘上。网络入侵检测模式(NIDS mode)是最复杂的、有机的配置,在这个模式下,snort分析网络中的数据,并通过使用用户自定义的规则集进行模式匹配,并根据匹配的结果执行多种操作。 2.0 嗅探模式(sniffer mode) 首先,让我们从基础开始。如果你只是想要在屏幕上打印出TCP/IP的包头信息(嗅探模式),使用下面的命令: ./snort –v 使用这个命令运行snort,将只显示IP和TCP/UDP/ICMP头信息,而不显示任何其它信息。如果你想要查看传输的有效负载信息,可以使用如下命令: ./snort –vd 这条命令在打印协议头信息的同时也打印相应的包数据。如果你想要一个更详细的现实,可以使用下面的命令来打印出数据链路层头信息: ./snort –vde (注:这些选项参数能够分开或者拆散成任和结合的方式。比如上一个命令也可以写做这种方式: ./snort -d -v –e 来达到同样的效果) 3.0 包记录模式(PACKET LOGGER MODE) 好的,上面的命令运行的都相当的好。但是如果你想要记录包到磁盘上,你需要指定一个记录目录,然后snort将自动的进入包记录模式: ./snort -dev -l ./log 当然,这里假设你在当前目录下有一个叫做“log”的目录。如果没有这个目录,snort将退出并返回错误信息。当snort以这种模式运行,它收集所有捕获的数据包,并根据数据包中一个主机的IP地址放入对应的目录中。 如果你只是简单的指定“-l”选项,你可能会发现snort有时使用远程计算机的地址作为存放数据包的目录,有时使用本地主机的地址。为了比较本地的网络,你需要告诉snort本地网络的信息: ./snort -dev -l ./log -h 192.168.1.0/24 这条指令让snort能够记录数据链路信息和TCP/IP头和应用数据到目录./log,并且记录和 192.168.1.0段C类网络相关的包信息。所有进来的包将记录到记录文件夹中对应的子文件夹中,子文件夹以远程主机(非192.168.1主机)的地址命名。注意,如果两个主机都是在本地网络内,然后他们将根据两个中高的端口号来记录,在端口号相等的情况下,将使用源地址来记录。 如果你在一个高速网络中,又或你想要使用一个更紧凑的格式来记录数据包为以后的分析所用,你可以考虑使用“二进制模式”来记录。二进制模式采用“tcpdump 格式”来记录数据包到指定目录下的单
snort规则选项 规则选项组成了入侵检测引擎的核心,既易用又强大还灵活。所有的snort规则选项用分号";"隔开。规则选项关键字和它们的参数用冒号":"分开。按照这种写法,snort中有42个规则选 项关键字。 msg - 在报警和包日志中打印一个消息。 logto - 把包记录到用户指定的文件中而不是记录到标准输出。 ttl - 检查ip头的ttl的值。 tos 检查IP头中TOS字段的值。 id - 检查ip头的分片id值。 ipoption 查看IP选项字段的特定编码。 fragbits 检查IP头的分段位。 dsize - 检查包的净荷尺寸的值。 flags -检查tcp flags的值。 seq - 检查tcp顺序号的值。 ack - 检查tcp应答(acknowledgement)的值。 window 测试TCP窗口域的特殊值。 itype - 检查icmp type的值。 icode - 检查icmp code的值。 icmp_id - 检查ICMP ECHO ID的值。 icmp_seq - 检查ICMP ECHO 顺序号的值。 content - 在包的净荷中搜索指定的样式。 content-list 在数据包载荷中搜索一个模式集合。 offset - content选项的修饰符,设定开始搜索的位置。 depth - content选项的修饰符,设定搜索的最大深度。 nocase - 指定对content字符串大小写不敏感。 session - 记录指定会话的应用层信息的内容。 rpc - 监视特定应用/进程调用的RPC服务。 resp - 主动反应(切断连接等)。 react - 响应动作(阻塞web站点)。 reference - 外部攻击参考ids。 sid - snort规则id。 rev - 规则版本号。 classtype - 规则类别标识。 priority - 规则优先级标识号。 uricontent - 在数据包的URI部分搜索一个内容。 tag - 规则的高级记录行为。 ip_proto - IP头的协议字段值。 sameip - 判定源IP和目的IP是否相等。 stateless - 忽略刘状态的有效性。 regex - 通配符模式匹配。 distance - 强迫关系模式匹配所跳过的距离。 within - 强迫关系模式匹配所在的范围。