大小:220K
更新时间:23-08-28
系统:Pc
版本:v
Snort是一个基于libpcap包的网络监控软件,它的一些源代码是从著名tcpdump软件发展而来的,可以作为一个十分有效的网络入侵监测系统,但如何使用呢?为此小编特别带来了snort中文手册pdf版下载,高清格式,无水印,详细介绍了snort简介,编写snort规则,预处理程序和输出插件四大部分。网友通过snort中文手册的学习,可以详细了解到snort工作模式,能实时对流量进行分析并对网络上的IP包登录进行测试等操作,适用于网络管理员使用,欢迎免费下载收藏。
snort作为一个基于网络的入侵检测系统(NIDS),在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警或记录。从检测模式而言,Snort属于是误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
(4)报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件,甚至可以将报警传送给第三方插件(如SnortSam),另外报警信息也可以记入SQL数据库。
1、snort简介
主要介绍了snort的三种工作模式:嗅探器、数据包记录器、网络入侵检测系统以及网络入侵检测系统。
2、编写snort 规则
用大篇幅介绍了在开发snort时需要记住的原则、概念及语句。
3、预处理程序
阐述了用户和程序员能在使用snort时将模块化的插件方便地融入Snort进行扩展。
4、输出插件
讲解输出插件是在Snort的告警和记录子系统被调用时运行这方面的知识。
1)Snort是一个轻量级的入侵检测系统它虽然功能强大,但是代码却极为简洁、短小,其源代码压缩包不到2兆。
2)Snort的可移植性很好
Snort的跨平台性能极佳,目前已经支持Linux,Solaris,BSD,IRIX,HP-UX,windows等系统。采用插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用;与Netfilter结合使用,可以作为网关IDS(Gateway IDS)等系统指纹识别工具结合使用,可以作为基于目标的IDS(Target—based IDS)。
3)Snort的功能非常强大
Snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:syslog、用户指定的文件、一个UNIX套接字,还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件,Snort可以使用SNML(简单网络标记语言,simple network markup language)把日志存放到一个文件或者适时报警。Snort能够进行协议分析,内容的搜索/匹配。现在Snort能够分析的协议有TCP,UDP,ICMP等。将来,可能提供对ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。
Snort的日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCH字符形式,更加便于用户尤其是新手检查。使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括: Postagresql、MySQL、oraCle、任何UNIXODBC数据库等。使用TCP流插件(TcpStream),Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的TCP包,完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据,将其送给在目标端口上监听的进程,从而使攻击包逃过Snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备了对付上面这种攻击的能力。使用SPADE(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测。
5)扩展性能较好,对于新的攻击威胁反应迅速
作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个域:处理动作、协议、方向、注意的端口。还有一些功能选项可以组合使用,实现更为复杂的功能。Snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI Normalization插件、XML插件等。同时,它支持多种格式的特征码规则输入方式,如数据库、XML等。Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新的攻击后,可以很快根据其特征码,写出检测规则。因为其规则语言简单,所以很容易上手,节省人员的培训费用。
6)多用途性
Snort系统不但可以作为入侵检测系统,还可以作为数据包嗅探器、数据包记录器使用。
7)遵循公共通用许可证GPL
Snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系统。但是,Snort系统也有很大的局限性,其系统结构决定了其检测规则只能使用落后的简单模式匹配技术,适应目前不断出现的新的攻击方式的能力有限:并且它在网络数据流量很大的时候容易产生漏报和误报,这对于目前的宽带潮流是一个很大的缺点。
同类热门
热门标签
网友评论0人参与,0条评论
最新排行
read2u(中文语音朗读软件)8.99Mv2.1官方版 read2u官方版是一款非常好用的中文语音朗读软件,也就是把电子读物变成有声读物的一种工具,不同于有些校对软件,read2u是专门为了朗读汉字而设计的,具有良好的音质,卓越的多音字识别系统,具有同音乐的完美结合,对于朗读的各项参数具有开放性,它支持
查看网页开发手记HTML+CSS+JavaScript实战详解57.15M叶青pdf扫描版网页开发手记HTML+CSS+JavaScript实战详解是一本非常网站开发建设实战手册,由叶青、孙亚南、孙泽军编著。本书内容丰富翔实,循序渐进的讲述了网页制作技术从基本概念到HTML页面制作,CSS样式控制、javaScrinpt程序的动态行为和综合实
查看21天学通java第7版19.07M罗格斯·卡登海德 pdf扫描版21天学通java第7版是一本Java语言程序设计畅销入门教程,由罗格斯·卡登海德编著。本书内容丰富翔实,只需21天的时间,便可让读者具备使用Java开发两种程序的知识和技能:运行在计算机中的应用程序以及运行在Android手机和平板电脑中的应用。全书针
查看linux程序设计第四版221.43M马修pdf扫描版linux程序设计第四版是Linux程序设计领域的经典名著,以简单易懂、内容全面和示例丰富而广受好评,由英国程序员Neil Matthew和Richard Stones共同编著。本书内容丰富翔实,主要通过一些交互性(基于屏幕)的例子来向读者介绍编写she
查看Linux/UNIX OpenLDAP实战指南75.78M郭大勇pdf扫描版Linux/UNIX OpenLDAP实战指南是一本深入讲解OpenLDAP应用实战的中文图书,由郭大勇编著。本书内容丰富翔实,基于OpenLDAP软件讲争如何实王刚账号管理以及安全策略管理,例如账号管理、权限控制管理、密码策略管理、密码审计管理、主机控
查看12g901-3图集23.03Mpdf全套版小编今天给大家分享的是12g901图集全套下载,包括12g901-1图集、12g901-2图集和12g901-3图集,pdf高清格式,由中华人民共和国住房和城乡建设部发行,适用于筏形基础、独立基础、条形基础、桩基承合的施工钢筋排布及构造,可供建筑施工、设
查看c和指针 pointers on c10.49M里科(Kenneth·Reek) pdf扫描版C和指针是一本C和C++领域的经典著作,由里科(Kenneth·Reek)编著。本书通过对指针的基础知识和高级特性的探讨,帮助程序员把指针的强大功能融入到自己的程序中去。全书共18章,覆盖了数据、语句、操作符和表达式、指针、函数、数组、字符串、结构和联合
查看《不要让未来的你,讨厌现在的自己》25.84MPDF高清扫描版 不要让未来的你,讨厌现在的自己是一本非常励志的书籍,适读人群上班族、心理学读者、励志书读者,是“特立独行的猫”为千万年轻人量身打造的人生成长之书,书中收录“特立独行的猫”特意为年轻人亲笔撰写的超级热帖《留在大城市,还是回老家?》、《躲过的,总有一天
查看计算机组成与设计硬件软件接口第五版149.19Mpdf扫描完整版计算机组成与设计硬件软件接口第五版,简称为计算机组成与设计第五版,是一本介绍计算机体系结构的教材,由美戴维A.帕特森,约翰L.亨尼斯编著,王党辉,康继昌,安建峰等翻译,机械工业出版社出版。全书非常详细的介绍了软件和硬件之间的关系,并且还提供了丰富的计算机
查看