Snort簡(jiǎn)介 MSE安全攻防培訓(xùn)資料

1 Snort簡(jiǎn)介 wangdayong 2 Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志Ip網(wǎng)絡(luò)數(shù)據(jù)包的能力 能夠進(jìn)行協(xié)議分析 對(duì)內(nèi)容搜索 匹配Snort具有很好的擴(kuò)展性和可移植性遵循公用許可GPL 所以只要遵守GPL任何組織和個(gè)人都可以自由使用可對(duì)其進(jìn)行二次開(kāi)發(fā) 用于內(nèi)容監(jiān)控等應(yīng)用 3 特點(diǎn)1 Snort雖然功能強(qiáng)大 但是其代碼極為簡(jiǎn)潔 短小 其源代碼壓縮包只有200KB不到Snort可移植性非常好 Snort的跨平臺(tái)性能極佳 目前已經(jīng)支持Linux系列 Solaris BSD系列 IRIX HP UX Windows系列 ScoOpenserver Unixware等 4 特點(diǎn)2 Snort具有實(shí)時(shí)流量分析和日志Ip網(wǎng)數(shù)據(jù)包的能力 能夠快速地檢測(cè)網(wǎng)絡(luò)活動(dòng) 及時(shí)地發(fā)出報(bào)告Snort的警報(bào)機(jī)制很豐富 例如 Syslog 用戶指定文件 UnixSocket 還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息 利用XML插件 Snort可以使用SNML 簡(jiǎn)單網(wǎng)絡(luò)標(biāo)記語(yǔ)言 simplenetworkmarkuplanguage 把日志存放在一個(gè)文件或者適時(shí)警報(bào) 5 特點(diǎn)3 Snort能夠進(jìn)行協(xié)議分析 內(nèi)容的搜索 匹配現(xiàn)在Snort能夠分析的協(xié)議有TCP UDP和ICMP將來(lái)的版本 將提供對(duì)ARP ICRP GRE OSPF RIP ERIP IPX APPLEX等協(xié)議的支持 6 特點(diǎn)4 Snort的日至格式既可以是Tcpdump的二進(jìn)制格式 也可以編碼成ASCII字符形式 更便于擁護(hù)尤其是新手檢查 使用數(shù)據(jù)庫(kù)輸出插件 Snort可以把日志記入數(shù)據(jù)庫(kù)當(dāng)前支持的數(shù)據(jù)庫(kù)包括 Postagresql MySQL 任何UnixODBC數(shù)據(jù)庫(kù) MicrosoftMsSQL 還有Oracle等數(shù)據(jù)庫(kù) 7 特點(diǎn)5 使用TCP流插件 TCPSTREAM Snort可以對(duì)TCP包進(jìn)行重組Snort能夠?qū)P包的內(nèi)容進(jìn)行匹配 但是對(duì)于TCP攻擊 如果攻擊者使用一個(gè)程序 每次發(fā)送只有一個(gè)字節(jié)的數(shù)據(jù)包 完全可以避開(kāi)Snort的模式匹配 而被攻擊的主機(jī)的TCP協(xié)議棧會(huì)重組這些數(shù)據(jù) 將其發(fā)送給目標(biāo)端口上監(jiān)聽(tīng)的進(jìn)程 從而使攻擊包逃過(guò)Snort的監(jiān)視使用TCP流插件 可以對(duì)TCP包進(jìn)行緩沖 然后進(jìn)行匹配 使Snort具備對(duì)付上面攻擊的能力 8 特點(diǎn)6 使用Spade StatisticalPacketAnomalyDetectionEngine 插件 Snort能夠報(bào)告非正常的包 從而對(duì)端口掃描進(jìn)行有效的檢測(cè) 9 特點(diǎn)7 Snort還有很強(qiáng)的系統(tǒng)防護(hù)能力如 使用其IPTables IPFilter插件可以使入侵檢測(cè)主機(jī)與防火墻聯(lián)動(dòng) 通過(guò)FlexResp功能 Snort能夠命令防火墻主動(dòng)短開(kāi)惡意連接 10 特點(diǎn)8 擴(kuò)展性能較好 對(duì)于新的攻擊威脅反應(yīng)迅速作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) Snort有足夠的擴(kuò)展能力 它使用一種簡(jiǎn)單的規(guī)則描述語(yǔ)言 很多商用入侵檢測(cè)系統(tǒng)都兼容Snort的規(guī)則語(yǔ)言 最基本的規(guī)則知識(shí)包含四個(gè)域 處理動(dòng)作 協(xié)議 方向 端口 例如LogTcpAnyany 10 1 1 0 2480 誰(shuí)都看得明白 11 特點(diǎn)9 Snort支持插件 可以使用具有特定功能的報(bào)告 檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展Snort當(dāng)前支持的插件包括 數(shù)據(jù)庫(kù)日志輸出插件 破碎數(shù)據(jù)包檢測(cè)插件 端口掃描檢測(cè)插件 HTTPURI插件 XML網(wǎng)頁(yè)生成等插件 12 特點(diǎn)10 Snort的規(guī)則語(yǔ)言非常簡(jiǎn)單 能夠?qū)π碌木W(wǎng)絡(luò)攻擊做出很快的反應(yīng)發(fā)現(xiàn)新攻擊后 可以很快地根據(jù)Bugtrag郵件列表 找到特征碼 寫出新的規(guī)則文件 13 幾個(gè)重要的數(shù)據(jù)結(jié)構(gòu) Snort系統(tǒng)中最重要的全局?jǐn)?shù)據(jù)結(jié)構(gòu)就是Packet結(jié)構(gòu) Packet數(shù)據(jù)結(jié)構(gòu)控制著整個(gè)系統(tǒng)正常工作的關(guān)鍵信息 所以 該數(shù)據(jù)結(jié)構(gòu)在代碼中出現(xiàn)的頻率最高 Packet數(shù)據(jù)結(jié)構(gòu)如下 代碼太長(zhǎng) 截取部分 Typedefstruct Packet structpcap pkthdrpkth BPFdata u int8 t pkt basepointertotherawpacketdata Fddi hdrfddihdr FDDIsupportheaders 14 預(yù)處理模塊 預(yù)處理模塊的作用是對(duì)當(dāng)前截獲的數(shù)據(jù)包進(jìn)行預(yù)先處理 以便后續(xù)處理模塊對(duì)數(shù)據(jù)包的處理操作數(shù)據(jù)包分片重組及數(shù)據(jù)流重組協(xié)議編碼協(xié)議異常檢測(cè) 15 數(shù)據(jù)包分片重組及數(shù)據(jù)流重組 在正常情況下 數(shù)據(jù)包在網(wǎng)絡(luò)上由于最大數(shù)據(jù)傳輸單元可能有限制MTU及網(wǎng)絡(luò)延遲等問(wèn)題 路由器會(huì)對(duì)數(shù)據(jù)包進(jìn)行分片處理但是惡意攻擊者也會(huì)故意發(fā)送經(jīng)過(guò)軟件加工過(guò)的數(shù)據(jù)包 以便把一個(gè)帶有攻擊性的數(shù)據(jù)包分散到各個(gè)小的數(shù)據(jù)包中 并有可能打亂數(shù)據(jù)包傳輸次序 分多次傳輸?shù)侥繕?biāo)主機(jī)這樣做的好處是減少被檢測(cè)到的概率 16 為此 入侵檢測(cè)系統(tǒng)有專門針對(duì)數(shù)據(jù)包上DM字段標(biāo)示為分段數(shù)據(jù)流的處理 此模塊對(duì)這些分段數(shù)據(jù)包可以進(jìn)行正確的從組 即使包的發(fā)送次序被打亂 此特性對(duì)于內(nèi)容監(jiān)控應(yīng)用同樣有意義 17 協(xié)議編碼 協(xié)議編碼是指有些協(xié)議是比較靈活的 如HTTP等協(xié)議 它支持多種編碼 如ASCII碼等 這就需要預(yù)處理模塊進(jìn)行處理 以便后續(xù)模塊進(jìn)行操作 同時(shí) 還有可能發(fā)現(xiàn)一些特定攻擊類型 如 http D就是我們熟悉的目錄遍歷漏洞特征 18 default ida NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNN u9090 6858 ucbd3 是我們熟悉的紅色代碼蠕蟲(chóng)特征 19 協(xié)議異常檢測(cè) 指的是給予異常行為統(tǒng)計(jì)檢查功能 能夠針對(duì)一些異常的網(wǎng)絡(luò)行為發(fā)出報(bào)警如端口及特定服務(wù) fingerx 500等服務(wù) 的搜索 20 預(yù)處理器的基本框架 所涉及到的函數(shù)如下 在Spp template c h中 SetupTemplate 注冊(cè)函數(shù) 由InitPreprocessors調(diào)用TemplateInit u char 預(yù)處理模塊的初始化ParseTemplateArgs char 參數(shù)解析PreproFunction Packet 根據(jù)預(yù)處理模塊的不同 執(zhí)行不同PreproRestartFunction int PreproCleanExitFunction int 退出清理函數(shù) 21 Spp Http Decode模塊 該模塊主要負(fù)責(zé)對(duì)HTTP協(xié)議中URL字符進(jìn)行規(guī)范化編碼處理 避免攻擊者通過(guò)某些特殊的字符編碼方式來(lái)逃避后續(xù)的規(guī)則檢測(cè) 對(duì)與IIS等可以接受同URL字符串的多個(gè)編碼形式 73 63 72 69 70 6D 65 65 78 65HTTP 對(duì)于IIS會(huì)認(rèn)為上面是一個(gè)請(qǐng)求 22 模塊參數(shù)格式 preprocedssorhttp decode var1var2如 preprocedssorhttp decode 8080808000unicodeiis alt Unicodedouble encodeiis flip slash 23 Spp frag2模塊 Spp frag2模塊能夠檢測(cè)到若干種基于IP數(shù)據(jù)包分片技術(shù)的Dos攻擊方法 這些類型的拒絕服務(wù)攻擊經(jīng)常利用操作系統(tǒng)協(xié)議棧 IP堆棧 的弱點(diǎn) 通過(guò)發(fā)送經(jīng)過(guò)精心設(shè)計(jì)的異常數(shù)據(jù)包分片來(lái)對(duì)目標(biāo)進(jìn)行攻擊該模塊參數(shù)如 preprocedssorfrag2 var1 var2 24 Frag2Data結(jié)構(gòu)存儲(chǔ)當(dāng)前模塊的參數(shù) Typedefstruct frag2Data u int8 tos flags u int32 tm