Snort入侵檢測(cè)系統(tǒng)概要課件

1、第10章 Snort入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)已經(jīng)成為了安全市場(chǎng)上新的熱點(diǎn)，不僅越來(lái)越多地受到人們的關(guān)注，而且已經(jīng)開(kāi)始在各種不同的環(huán)境中發(fā)揮著關(guān)鍵的作用。本章將介紹入侵檢測(cè)的基本概念、Snort的安裝與使用、Snort的配置、以及Snort規(guī)則的編寫(xiě)等內(nèi)容。第1頁(yè)，共23頁(yè)。10.1 入侵檢測(cè)簡(jiǎn)介傳統(tǒng)上，企業(yè)網(wǎng)絡(luò)一般采用防火墻作為安全的第一道防線(xiàn)，但隨著攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿(mǎn)足對(duì)網(wǎng)絡(luò)安全的進(jìn)一步需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。入侵檢測(cè)系統(tǒng)是繼防火墻之后，保護(hù)網(wǎng)絡(luò)安全的第二道防線(xiàn)，它可以在網(wǎng)絡(luò)受到攻擊時(shí)，發(fā)出警報(bào)或者采取一定的干預(yù)措施，以保證網(wǎng)絡(luò)

2、的安全。本節(jié)主要介紹網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)、網(wǎng)絡(luò)攻擊的類(lèi)型、入侵檢測(cè)系統(tǒng)的組成與工作原理等內(nèi)容。第2頁(yè)，共23頁(yè)。10.1.1 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指提供網(wǎng)絡(luò)服務(wù)的整個(gè)系統(tǒng)的硬件、軟件、以及數(shù)據(jù)要受到保護(hù)，不會(huì)因?yàn)榕紶柣驉阂獾脑蚨獾狡茐摹⒏?、泄露或者中斷服?wù)，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、應(yīng)用數(shù)學(xué)、信息論、密碼技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)等多種學(xué)科的綜合性學(xué)科。在不同的應(yīng)用和環(huán)境下，網(wǎng)絡(luò)安全會(huì)被賦予不同的內(nèi)容。第3頁(yè)，共23頁(yè)。10.1.2 常見(jiàn)的網(wǎng)絡(luò)攻擊類(lèi)型防范網(wǎng)絡(luò)攻擊是保證網(wǎng)絡(luò)安全的一項(xiàng)重要內(nèi)容，黑客攻擊網(wǎng)絡(luò)的手法雖然五花八門(mén)，但也是有一定規(guī)律的

3、。具體來(lái)說(shuō)，黑客常用的攻擊手法有以下幾種類(lèi)型。1漏洞掃描2密碼破解3DoS和DDoS攻擊4緩沖區(qū)溢出5系統(tǒng)后門(mén)與木馬程序第4頁(yè)，共23頁(yè)。10.1.3 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)可以分為基于網(wǎng)絡(luò)、基于主機(jī)以及分布式三類(lèi)。圖10-1所示的是典型的入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)模型。第5頁(yè)，共23頁(yè)。10.2 Snort的安裝與使用Snort是Linux平臺(tái)上最常用的遵循GNU GPL的入侵檢測(cè)系統(tǒng)，同時(shí)它還是一個(gè)非常優(yōu)秀的數(shù)據(jù)包抓取工具。本節(jié)將介紹Snort的功能特點(diǎn)，Snort軟件的獲取、安裝與運(yùn)行，Snort命令的格式、Snort作為抓包工具時(shí)的使用方法等內(nèi)容。第6頁(yè)，共23頁(yè)。10.2.1 Snort簡(jiǎn)

4、介Snort是一種開(kāi)放源代碼、免費(fèi)、跨平臺(tái)的網(wǎng)絡(luò)入侵保護(hù)和檢測(cè)系統(tǒng)，它使用了一種規(guī)則驅(qū)動(dòng)的語(yǔ)言，支持各種形式的插件、擴(kuò)充和定制，具有實(shí)時(shí)數(shù)據(jù)流量分析、對(duì)IP網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行日志記錄、以及對(duì)入侵進(jìn)行探測(cè)的功能。雖然Snort的功能非常強(qiáng)大，但其代碼非常簡(jiǎn)潔，可移植性非常好。迄今為止數(shù)百萬(wàn)的下載量使得Snort成為使用最為廣泛的入侵保護(hù)和檢測(cè)系統(tǒng)，并且成為了事實(shí)上的行業(yè)標(biāo)準(zhǔn)。第7頁(yè)，共23頁(yè)。10.2.2 Snort的安裝與運(yùn)行Snort是一種開(kāi)放源代碼的軟件，可以從其主頁(yè)下載源代碼進(jìn)行編譯安裝，目前最新的穩(wěn)定版本是版。另外，在其主頁(yè)的下載頁(yè)面中還提供了For RHEL5的RPM軟件包，其文件名是s

5、nort-1.RH5.i386.rpm。除此之外，在/usr/sbin目錄下還有一個(gè)名為snort的符號(hào)鏈接文件，要鏈接到/usr/sbin/snort-plain文件，以后執(zhí)行snort命令時(shí)，實(shí)際上真正執(zhí)行的是/usr/sbin/snort-plain文件。第8頁(yè)，共23頁(yè)。10.2.3 Snort命令的格式Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。Snort工作在嗅探器模式時(shí)相當(dāng)于一個(gè)抓包軟件，僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并連續(xù)不斷地顯示在終端上。工作在數(shù)據(jù)包記錄器模式時(shí)，Snort把數(shù)據(jù)包記錄到磁盤(pán)中。網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜的，用戶(hù)可以通過(guò)配置讓Snort分析網(wǎng)絡(luò)

6、數(shù)據(jù)包，并與用戶(hù)定義的一些規(guī)則進(jìn)行匹配，然后根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。Snort命令的格式如下：snort -options 第9頁(yè)，共23頁(yè)。10.2.4 用Snort抓取數(shù)據(jù)包除了使用Snort作為入侵檢測(cè)工具外，Snort還具有強(qiáng)大的數(shù)據(jù)包抓取功能，可以作為數(shù)據(jù)包分析工具使用。在snort命令格式中，如果不使用“-c”選項(xiàng)指定規(guī)則文件，則Snort將簡(jiǎn)單地從網(wǎng)絡(luò)抓取數(shù)據(jù)包，在屏幕上顯示或保存到文件中。第10頁(yè)，共23頁(yè)。10.3 配置SnortSnort最主要的功能是對(duì)入侵進(jìn)行檢測(cè)，其工作方式是對(duì)抓取的數(shù)據(jù)包進(jìn)行分析后，與特定的規(guī)則模式進(jìn)行匹配，如果能匹配，則認(rèn)為發(fā)生了入侵事件。此時(shí)，

7、執(zhí)行snort命令時(shí)需要用“-c”選項(xiàng)指定入侵檢測(cè)時(shí)所使用的配置文件。Snort默認(rèn)安裝時(shí)，已經(jīng)在/etc/snort目錄提供了一個(gè)例子配置文件，其文件名是snort.conf，本節(jié)主要以該文件的內(nèi)容為中心，介紹一下Snort的配置方法。第11頁(yè)，共23頁(yè)。10.3.1 定義Snort變量/etc/snort/snort.conf文件是snort命令運(yùn)行時(shí)的主配置文件，為了使用的方便，用戶(hù)可以在其中定義許多變量，以便以后在其它位置進(jìn)行引用。另外，Snort系統(tǒng)本身也使用某些名稱(chēng)的變量，用戶(hù)賦予的值將影響Snort的工作狀態(tài)。變量的值一般是文件系統(tǒng)中的路徑、IP地址、端口號(hào)等。第12頁(yè)，共23頁(yè)

8、。10.3.2 配置Snort選項(xiàng)執(zhí)行snort命令時(shí)，可以通過(guò)指定命令行選項(xiàng)使Snort工作于不同的狀態(tài)，實(shí)際上，很多的命令行選項(xiàng)都可以在snort.conf文件中進(jìn)行配置，于是，就不需要在snort命令行中指定了。除了命令行選項(xiàng)外，在snort.conf文件中還可以指定其它一些不能在命令行中使用的選項(xiàng)。配置Snort選項(xiàng)的格式如下：config : 第13頁(yè)，共23頁(yè)。10.3.3 配置Snort預(yù)處理模塊預(yù)處理程序從1.5版的Snort開(kāi)始引入，它可以使用戶(hù)和程序員能夠?qū)⒛K化的插件方便地集成到Snort中，使Snort的功能非常容易地得到擴(kuò)展。預(yù)處理程序代碼在數(shù)據(jù)包解碼之后，并在入侵檢

9、測(cè)引擎被調(diào)用之前運(yùn)行，這樣，數(shù)據(jù)包就可以通過(guò)額外的方法被分析或修改。1Frag3模塊2HTTP Inspect模塊3SMTP解碼器第14頁(yè)，共23頁(yè)。10.3.4 配置Snort輸出插件配置輸出插件可以允許Snort為用戶(hù)提供更加人性化的輸出，它們?cè)赟nort的報(bào)警和日志模塊中被調(diào)用，以便把預(yù)處理和入侵檢測(cè)引擎中產(chǎn)生的數(shù)據(jù)輸出。每一個(gè)輸出插件與某一事件相聯(lián)系，當(dāng)該事件發(fā)生時(shí)，這些輸出模塊將依次被調(diào)用。第15頁(yè)，共23頁(yè)。10.3.5 配置Snort規(guī)則文件Snort軟件包本身并不提供規(guī)則，用戶(hù)如果需要，可以從Snort的主頁(yè)下載。Snort網(wǎng)站為三種不同的用戶(hù)提供不同的規(guī)則更新服務(wù)。為了獲取S

10、nort規(guī)則，需要在網(wǎng)站上注冊(cè)一個(gè)用戶(hù)賬號(hào)，接著在主頁(yè)上選擇Rules及VRT Rules鏈接，然后在頁(yè)面中間找到為注冊(cè)用戶(hù)提供的2.8版的規(guī)則集，并單擊Download鏈接下載。下載后的文件約為66M，文件名是snortrules-snapshot-2.8.tar。第16頁(yè)，共23頁(yè)。10.4 編寫(xiě)Snort規(guī)則前面介紹了Snort規(guī)則的獲得、配置與使用，這些規(guī)則是由各種組織或廠(chǎng)商提供的。有時(shí)用戶(hù)也希望能夠自己編寫(xiě)Snort規(guī)則，以便能對(duì)最新的入侵行為作出反應(yīng)。下面介紹一下有關(guān)Snort規(guī)則的編寫(xiě)方法。第17頁(yè)，共23頁(yè)。10.4.1 Snort規(guī)則基礎(chǔ)Snort使用一種簡(jiǎn)單的，輕量級(jí)的規(guī)則

11、描述語(yǔ)言，這種語(yǔ)言靈活而強(qiáng)大。一條Snort規(guī)則包含兩個(gè)邏輯部分：規(guī)則頭和規(guī)則選項(xiàng)。書(shū)寫(xiě)Snort規(guī)則時(shí)，所有的內(nèi)容都應(yīng)該在一個(gè)單行上，如果需要分成多行書(shū)寫(xiě)的，要在行尾加上分隔符“”。另外，snort.conf文件中定義的變量都可以在規(guī)則中使用，最常用的變量是HOME_NET和EXTERNAL_NET，分別表示本地子網(wǎng)和其它網(wǎng)段。第18頁(yè)，共23頁(yè)。10.4.2 Snort規(guī)則頭規(guī)則頭定義了一個(gè)數(shù)據(jù)包的who，where和what信息，以及當(dāng)數(shù)據(jù)包滿(mǎn)足了規(guī)則定義的所有選項(xiàng)的值時(shí)，將對(duì)數(shù)據(jù)包采取什么樣的動(dòng)作。在規(guī)則頭中，緊跟著規(guī)則動(dòng)作的下一個(gè)域是協(xié)議類(lèi)型。Snort當(dāng)前可以分析的協(xié)議類(lèi)型有四種：

12、TCP、UDP、ICMP和IP，這已經(jīng)包括了Internet最主要的協(xié)議。接下來(lái)的域是IP地址。除了單個(gè)IP地址外，還可以使用以IP地址和CIDR塊組成的IP地址段。第19頁(yè)，共23頁(yè)。10.4.3 Snort規(guī)則選項(xiàng)Snort的規(guī)則選項(xiàng)是入侵檢測(cè)引擎的核心，所有的入侵行為都可以通過(guò)Snort規(guī)則選項(xiàng)將其表達(dá)出來(lái)，使用起來(lái)非常靈活。所有的snort規(guī)則選項(xiàng)和選項(xiàng)值之間用“:”分隔，而規(guī)則選項(xiàng)本身由“;”進(jìn)行分隔。第20頁(yè)，共23頁(yè)。10.5 小結(jié)入侵檢測(cè)系統(tǒng)是對(duì)網(wǎng)絡(luò)攻擊進(jìn)行主動(dòng)防范的一種手段，是保證網(wǎng)絡(luò)安全的一種重要措施。本章首先介紹有關(guān)入侵檢測(cè)的基礎(chǔ)知識(shí)，包括網(wǎng)絡(luò)安全的定義、網(wǎng)絡(luò)攻擊的類(lèi)型、入侵檢測(cè)系統(tǒng)的定義等內(nèi)容。然后介紹最知名的開(kāi)源入侵檢測(cè)系統(tǒng)Snort，包括它的三種運(yùn)行方式、配置方法、規(guī)則的使用和編寫(xiě)等內(nèi)容。第21頁(yè)，共23頁(yè)。1、字體安裝與設(shè)置如果您對(duì)PPT模板中的字體風(fēng)格不滿(mǎn)意，可進(jìn)行批量替換，一次性更改各頁(yè)面字體。在“開(kāi)始”選項(xiàng)卡中，點(diǎn)擊“替換”按鈕右側(cè)箭頭，選擇“替換字體”。（如下圖）在圖“替換”下拉列表中選擇要更改字體。（如下圖）在“替換為”下拉列表中選擇替換字體。點(diǎn)擊