大小:220K
更新时间:23-08-28
系统:Pc
版本:v
Snort是一个基于libpcap包的网络监控软件,它的一些源代码是从著名tcpdump软件发展而来的,可以作为一个十分有效的网络入侵监测系统,但如何使用呢?为此小编特别带来了snort中文手册pdf版下载,高清格式,无水印,详细介绍了snort简介,编写snort规则,预处理程序和输出插件四大部分。网友通过snort中文手册的学习,可以详细了解到snort工作模式,能实时对流量进行分析并对网络上的IP包登录进行测试等操作,适用于网络管理员使用,欢迎免费下载收藏。
snort作为一个基于网络的入侵检测系统(NIDS),在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警或记录。从检测模式而言,Snort属于是误用检测,即对已知攻击的特征模式进行匹配。从本质上来说,snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
(4)报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件,甚至可以将报警传送给第三方插件(如SnortSam),另外报警信息也可以记入SQL数据库。
1、snort简介
主要介绍了snort的三种工作模式:嗅探器、数据包记录器、网络入侵检测系统以及网络入侵检测系统。
2、编写snort 规则
用大篇幅介绍了在开发snort时需要记住的原则、概念及语句。
3、预处理程序
阐述了用户和程序员能在使用snort时将模块化的插件方便地融入Snort进行扩展。
4、输出插件
讲解输出插件是在Snort的告警和记录子系统被调用时运行这方面的知识。
1)Snort是一个轻量级的入侵检测系统它虽然功能强大,但是代码却极为简洁、短小,其源代码压缩包不到2兆。
2)Snort的可移植性很好
Snort的跨平台性能极佳,目前已经支持Linux,Solaris,BSD,IRIX,HP-UX,windows等系统。采用插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用;与Netfilter结合使用,可以作为网关IDS(Gateway IDS)等系统指纹识别工具结合使用,可以作为基于目标的IDS(Target—based IDS)。
3)Snort的功能非常强大
Snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:syslog、用户指定的文件、一个UNIX套接字,还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件,Snort可以使用SNML(简单网络标记语言,simple network markup language)把日志存放到一个文件或者适时报警。Snort能够进行协议分析,内容的搜索/匹配。现在Snort能够分析的协议有TCP,UDP,ICMP等。将来,可能提供对ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等协议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。
Snort的日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCH字符形式,更加便于用户尤其是新手检查。使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括: Postagresql、MySQL、oraCle、任何UNIXODBC数据库等。使用TCP流插件(TcpStream),Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的TCP包,完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据,将其送给在目标端口上监听的进程,从而使攻击包逃过Snort的监视。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备了对付上面这种攻击的能力。使用SPADE(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测。
5)扩展性能较好,对于新的攻击威胁反应迅速
作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个域:处理动作、协议、方向、注意的端口。还有一些功能选项可以组合使用,实现更为复杂的功能。Snort支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI Normalization插件、XML插件等。同时,它支持多种格式的特征码规则输入方式,如数据库、XML等。Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新的攻击后,可以很快根据其特征码,写出检测规则。因为其规则语言简单,所以很容易上手,节省人员的培训费用。
6)多用途性
Snort系统不但可以作为入侵检测系统,还可以作为数据包嗅探器、数据包记录器使用。
7)遵循公共通用许可证GPL
Snort遵循GPL,所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系统。但是,Snort系统也有很大的局限性,其系统结构决定了其检测规则只能使用落后的简单模式匹配技术,适应目前不断出现的新的攻击方式的能力有限:并且它在网络数据流量很大的时候容易产生漏报和误报,这对于目前的宽带潮流是一个很大的缺点。
同类热门
热门标签
网友评论0人参与,0条评论
最新排行
15j401钢梯图集85.81Mpdf高清版15j401钢梯图集是一本钢梯使用规范图集,该图集描述了作业平台钢梯、钢梯及平台钢护栏、固定式钢斜梯、上屋面钢直梯、上吊车钢斜梯、中柱式钢螺旋梯、板式钢螺旋梯的专业图纸及做法,同时按照新的标准规范,对原图集02J401《钢梯》进行修编,提高了钢梯的安全性
查看网站安全攻防秘笈:防御黑客和保护用户的100条超级策略95.16Mpdf扫描版网站安全攻防秘笈:防御黑客和保护用户的100条超级策略是一本网站安全类的攻防书籍,由国际信息专家(美)Ryan Barnett编著,许鑫城编译。全书全面深入剖析网站的常见漏洞、攻击及原理,详细讲解了如何应对各种攻击和漏洞的实用策略,并且还讲解了如何使用开
查看成功之路Oracle 11g学习笔记115.25M赵振平pdf扫描版成功之路Oracle 11g学习笔记是一本Oracle 11g技术学习指南,由赵振平编著。本书内容丰富翔实,主要为刚刚开始学习接触Oracle的新手们准备,在前面的章节主要为读者介绍了Oracle安装、干净卸载Oracle、数据库启动关闭、Oracle网
查看精通Oracle核心技术与项目实战4.96M刘丽霞pdf扫描版 精通Oracle核心技术与项目实战是一本Oracle数据库开发书籍,由刘丽霞编著。本书结合大量实例,对Oracle知识点相关的原理进行了详细讲解。具体内容包括Oracle 11g的体系结构,数据库管理和配置,数据库安全,数据库日常维护,pl/sql
查看android系统服务开发54.2Mpdf完整扫描版android系统服务开发是一本不错的android系统开发书籍,通过本书可以了解系统进程间通信、通信(RIL)框架、电源管理等内容的相关细节,对致力于这方面开发的程序员来说大有裨益。本书由[韩]金大佑,朴宰永,文炳元编著,邸春红翻译,人民邮电出版社出版
查看android板级支持与硬件相关子系统141.16Mandroid板级支持与硬件相关子系统是一本板级支持与硬件相关子系统书籍,由韩超编著。本书特别选定了Nexus One、Nexus S、Galaxy Nexus等几款手机作为参考平台。其中一个很大的优点就是以上几个平台都是Google认定的,具有典型性,
查看百姓自制蔬菜食谱1000例58.08Mpdf高清版百姓自制蔬菜食谱1000例是一本pdf高清版的电子书,详细的介绍了各种蔬菜的不同做法,包括白菜、菠菜、韭菜、圆白菜、青菜、雪菜、茭白、芦笋、萝卜、山药、土豆、藕等多种蔬菜。同时该蔬菜菜谱还介绍了做菜的一些小常识、小窍门,让百姓了解从选料、制作到食用的一系
查看Apache Tomcat 6高级编程89.97M乔帕pdf扫描版Apache Tomcat 6高级编程是一本Apache Tomcat 6编著书籍,由乔帕(Chopra V.)编著,杨金奎等人翻译。本书重点讲解Tomcat 6的应用知识,介绍了新的架构和性能更改。从基本的Tomcat和Web应用程序配置到用于集群、J
查看构建oracle高可用环境58.61M陈吉平pdf扫描版构建oracle高可用环境是一本介绍管理OracLe高可用数据库的经验之书,由陈吉平著作,电子工业出版社出版。全书内容横跨主机、存储、数据库三大领域,全面介绍oracle及周边环境的高可用性,所有的内容都包括了作者多年来Oracle高可用数据库的经验,在
查看数据库索引设计与优化pdf83.37M扫描版数据库索引设计与优化是数据库领域的的重要理论大作,是每一个从事数据库领域工作者必读的一本书,由(美)拉赫登迈奇(Tapio Lahdenmaki),(美)利奇(Michael Leach) 著,曹怡倩,赵建伟翻译,电子工业出版社出版。全书花了大量的篇幅讲
查看需求分析与系统设计原书第三版pdf72.41M扫描版需求分析与系统设计(原书第三版)是一本讲解了设计大型面向对象系统所需的基础理论和实践的教材书籍,全书论述软件分析与设计的原理、方法和技术,并特别关注设计阶段,对软件体系结构的内容进行了很大的扩充。另外,书中强调对象技术及统一建模语言(UML)在企业信息系
查看