《入侵檢測與防御原理及實踐（微課版）》 課件 CH5 開源入侵檢測系統(tǒng)Snort3

開源入侵檢測系統(tǒng)Snort3目錄Snort3概述Snort3的安裝Snort3的配置Snort3功能組件的安裝及配置Snort3的檢查器Snort3概述1Snort3，也稱為Snort++，是Cisco（思科）團(tuán)隊歷經(jīng)7年的時間，用C++重新設(shè)計的下一代IPS。它采用了一種全新的設(shè)計，具有更高的性能、更快的處理速度、更好的可擴(kuò)展性和可用性，是保護(hù)用戶網(wǎng)絡(luò)免受不必要流量、惡意軟件、垃圾郵件和網(wǎng)絡(luò)釣魚文檔等影響首選的開源IPS。Snort3主要的新功能和改進(jìn)包括：（1）新的進(jìn)程架構(gòu)，使Snort3可以有效處理Snort2規(guī)避的現(xiàn)代架構(gòu)。（2）全新的C++設(shè)計，使代碼庫更加模塊化，可擴(kuò)展性更好，更易于在網(wǎng)絡(luò)上進(jìn)行維護(hù)。（3）多線程、共享內(nèi)存和Hyperscan等的使用，使Snort3處理數(shù)據(jù)包所需的資源更少，內(nèi)存利用率更高，可以更輕松地擴(kuò)展到網(wǎng)絡(luò)，啟動和處理速度也更快，性能顯著提高。（4）Luajit插件允許用戶編寫自己的插件，更容易根據(jù)自己的需要進(jìn)行定制，比如完成自定義規(guī)則選項、深入文件處理等任務(wù)。Snort3的新功能Snort3主要的新功能和改進(jìn)包括：（5）Snort3的規(guī)則可以采用LUA格式，規(guī)則語法也更簡潔，方便用戶創(chuàng)建規(guī)則，減少規(guī)則冗余，同時也使規(guī)則更易于編寫和理解、運(yùn)行也更快。比如，規(guī)則頭中的協(xié)議、源目地址、端口和方向操作符都是可選的，若省略則表示匹配任意（相當(dāng)于關(guān)鍵詞any的作用）。（6）Snort3使用了超過200個插件的完整插件系統(tǒng)（Snort2僅在預(yù)處理和輸出模塊中使用插件），用戶可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行自定義設(shè)置。（7）重寫了TCP處理。（8）改進(jìn)了共享對象規(guī)則，包括為零日漏洞添加規(guī)則的能力。（9）使用了新的性能監(jiān)視器和新的時間和空間分析方法。Snort3的新功能最顯著的區(qū)別是進(jìn)程架構(gòu)Snort2與Snort3的區(qū)別特性Snort2Snort3多線程支持每個進(jìn)程一個每個進(jìn)程任意多個插件僅限于預(yù)處理和輸出具有超過200個插件的完整插件系統(tǒng)與端口無關(guān)的協(xié)議檢查不支持支持IPS加速器/支持Hyperscan不支持支持模塊化不支持支持可擴(kuò)展內(nèi)存分配不支持支持下一代TALOS規(guī)則-比如正則表達(dá)式/規(guī)則選項/粘性緩沖區(qū)不支持支持新的和改進(jìn)的HTTP檢查器-比如支持HTTP/2不支持支持TALOS提供的輕量級內(nèi)容更新不支持支持Snort3的安裝2Snort3目前只有源碼版（.tar.gz的源碼包），可以手動編譯安裝在Kali、CentOS、FreeBSD、Ubuntu、OracleLinux等基于Linux的操作系統(tǒng)上。Snort3的安裝Snort3-.tar.gz：Snort3的源碼安裝包。libdaq-3.0.10.tar.gz：Snort3的數(shù)據(jù)采集器。snortrules-snapshot-31470.tar.gz：Snort3的訂閱規(guī)則集。pulledpork3-main.zip：用來下載和合并Snort規(guī)則集的腳本。snort-openappid.tar.gz：使Snort能識別、控制和測量網(wǎng)絡(luò)上正在使用的應(yīng)用程序。gperftools-2.9.1.tar.gz：GooglePerfTools工具集，可以提高Snort性能、減少內(nèi)存使用，可在/gperftools/gperftools下載最新版。splunk-9.0.4-de405f4a7979-linux-2.6-amd64.deb：一個安全信息和事件管理（SIEM）系統(tǒng)，它收集、存儲并允許輕松地進(jìn)行分析以及可視化數(shù)據(jù)，包括Snort創(chuàng)建的警報。主要安裝包及其功能主要路徑/usr/localbinetcvarlogsnort.exesnort2lua.exesnortrulessnortgcc :編譯器,如果報錯,apt-getinstallg++flex :DAQ所需的解析器bison :DAQ所需的解析器zlib1g-dev :Snort所需的壓縮庫libpcap-dev :Snort所需的網(wǎng)絡(luò)流量捕獲頭文件庫libdnet-dev :不是必要的，為幾個網(wǎng)絡(luò)歷程提供了簡化的可移植接口luajit :lua的頭文件庫headersbuild-essential :提供編譯軟件的構(gòu)建工具libpcre3-dev :Snort所需的pcre3的頭文件libdumbnet-dev :同libdnetopenssllibssl-dev :ssl的加密組件,提供SHA和MD5文件簽名部分依賴包的功能安裝編譯環(huán)境及依賴包安裝snort的數(shù)據(jù)采集庫DAQ安裝TCMalloc（Google開發(fā)的內(nèi)存管理工具）安裝snort3網(wǎng)卡的配置將下載snort3規(guī)則復(fù)制到規(guī)則目錄中修改snort3的配置文件新增測試規(guī)則文件啟動snort3驗證效果安裝和配置OpenAppID安裝和配置pulledpork3安裝和配置splunk安裝流程Snort3的配置3Snort3也有免費(fèi)版（Community）、注冊版（Registered）、收費(fèi)版（Subscription）三類規(guī)則?？梢苑纸鉃橄螺d規(guī)則、修改配置文件和運(yùn)行Snort三個部分。使用注冊規(guī)則集用戶也可以根據(jù)需要創(chuàng)建自定義的規(guī)則文件，再在自定義的規(guī)則文件中創(chuàng)建用戶自定義的規(guī)則，在對Snort進(jìn)行配置讓自定義的規(guī)則生效。1.創(chuàng)建自定義的規(guī)則文件和規(guī)則sudovi/usr/local/etc/snort/rules/test.rules alerticmpanyany->anyany(msg:"ICMPTrafficDetected";sid:10000001;metadata:policysecurity-ipsalert;)2.使用自定義的規(guī)則文件和規(guī)則1）sudosnort-c/usr/local/etc/snort/snort.lua-R/usr/local/etc/snort/rules/test.rules-ieth0-Aalert_fast2）sudovi/usr/local/etc/snort/snort.luainclude$RULE_PATH/test.rulessudosnort-c/usr/local/etc/snort/snort.lua-ieth0-Aalert_fast使用自定義規(guī)則啟用JSON輸出插件，可以將Snort3的告警信息寫入JSON格式的文本文件，以便導(dǎo)入到安全信息和事件管理系統(tǒng)SIEM中（如Splunk）。啟用JSON輸出插件Snort3功能組件的安裝及配置4處理前面介紹的Snort3的基本功能之外，Snort3還有很多可選的功能組件或第三方的軟件，可以增強(qiáng)Snort3的功能。OpenAppID：使Snort能夠識別、控制和測量網(wǎng)絡(luò)上正在使用的應(yīng)用程序。PulledWork：管理Snort規(guī)則集的工具。Snort3自啟動腳本：系統(tǒng)啟動時Snort3能自動運(yùn)行Splunk：SIEM（SecurityInformationandEventManagement）工具，可對信息進(jìn)行統(tǒng)一、實時的監(jiān)控、歷史分析，對外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計分析、調(diào)查取證、出具各種報表報告，以實現(xiàn)資源合規(guī)性管理的目標(biāo)，同時提升企業(yè)的安全運(yùn)營、威脅管理和應(yīng)急響應(yīng)的能力。Snort3功能組件的安裝及配置Snort3的檢查器Inspector5功能相當(dāng)于Snort2的預(yù)處理器，用于對解碼后的數(shù)據(jù)包進(jìn)行錯誤檢測和預(yù)處理，方便檢測引擎的檢測。Snort3也內(nèi)置了一些常用的檢查器，如normalize、st