(精品)第10章Snort入侵检测系统

,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,第,10,章,Snort,入侵检测系统,入侵检测系统已经成为了安全市场上新的热点，不仅越来越多地受到人们的关注，而且已经开始在各种不同的环境中发挥着关键的作用。本章将介绍入侵检测的基本概念、,Snort,的安装与使用、,Snort,的配置、以及,Snort,规则的编写等内容。,10.1,入侵检测简介,传统上，企业网络一般采用防火墙作为安全的第一道防线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对网络安全的进一步需要，网络的防卫必须采用一种纵深的、多样化的手段。入侵检测系统是继防火墙之后，保护网络安全的第二道防线，它可以在网络受到攻击时，发出警报或者采取一定的干预措施，以保证网络的安全。本节主要介绍网络安全的基础知识、网络攻击的类型、入侵检测系统的组成与工作原理等内容。,10.1.1,网络安全,网络安全是指提供网络服务的整个系统的硬件、软件、以及数据要受到保护，不会因为偶尔或恶意的原因而遭到破坏、更改、泄露或者中断服务，确保系统能连续、可靠、正常地运行。网络安全是一门涉及计算机科学、应用数学、信息论、密码技术、网络技术、通信技术、信息安全技术等多种学科的综合性学科。在不同的应用和环境下，网络安全会被赋予不同的内容。,10.1.2,常见的网络攻击类型,防范网络攻击是保证网络安全的一项重要内容，黑客攻击网络的手法虽然五花八门，但也是有一定规律的。具体来说，黑客常用的攻击手法有以下几种类型。,1,漏洞扫描,2,密码破解,3,DoS,和,DDoS,攻击,4,缓冲区溢出,5,系统后门与木马程序,10.1.3,入侵检测系统,入侵检测系统可以分为基于网络、基于主机以及分布式三类。图,10-1,所示的是典型的入侵检测系统的结构模型。,10.2,Snort,的安装与使用,Snort,是,Linux,平台上最常用的遵循,GNU GPL,的入侵检测系统，同时它还是一个非常优秀的数据包抓取工具。本节将介绍,Snort,的功能特点，,Snort,软件的获取、安装与运行，,Snort,命令的格式、,Snort,作为抓包工具时的使用方法等内容。,10.2.1,Snort,简介,Snort,是一种开放源代码、免费、跨平台的网络入侵保护和检测系统，它使用了一种规则驱动的语言，支持各种形式的插件、扩充和定制，具有实时数据流量分析、对,IP,网络数据包进行日志记录、以及对入侵进行探测的功能。,虽然,Snort,的功能非常强大，但其代码非常简洁，可移植性非常好。迄今为止数百万的下载量使得,Snort,成为使用最为广泛的入侵保护和检测系统，并且成为了事实上的行业标准。,10.2.2,Snort,的安装与运行,Snort,是一种开放源代码的软件，可以从其主页,http:/www.snort.org,下载源代码进行编译安装，目前最新的稳定版本是,2.8.3.2,版。另外，在其主页的下载页面中还提供了,For RHEL5,的,RPM,软件包，其文件名,是,snort-2.8.3.2-1.RH5.i386.rpm,。,除此之外，在,/,usr,/,sbin,目录下还有一个名为,snort,的符号链接文件，要链接到,/,usr,/,sbin,/snort-plain,文件，以后执行,snort,命令时，实际上真正执行的是,/,usr,/,sbin,/snort-plain,文件。,10.2.3,Snort,命令的格式,Snort,有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。,Snort,工作在嗅探器模式时相当于一个抓包软件，仅仅是从网络上读取数据包并连续不断地显示在终端上。工作在数据包记录器模式时，,Snort,把数据包记录到磁盘中。网络入侵检测模式是最复杂的，用户可以通过配置让,Snort,分析网络数据包，并与用户定义的一些规则进行匹配，然后根据检测结果采取一定的动作。,Snort,命令的格式如下：,snort-options,10.2.4,用,Snort,抓取数据包,除了使用,Snort,作为入侵检测工具外，,Snort,还具有强大的数据包抓取功能，可以作为数据包分析工具使用。在,snort,命令格式中，如果不使用“,-,c”,选项指定规则文件，则,Snort,将简单地从网络抓取数据包，在屏幕上显示或保存到文件中。,10.3,配置,Snort,Snort,最主要的功能是对入侵进行检测，其工作方式是对抓取的数据包进行分析后，与特定的规则模式进行匹配，如果能匹配，则认为发生了入侵事件。此时，执行,snort,命令时需要用“,-,c”,选项指定入侵检测时所使用的配置文件。,Snort,默认安装时，已经在,/,etc/snort,目录提供了一个例子配置文件，其文件名,是,snort.conf,，,本节主要以该文件的内容为中心，介绍一下,Snort,的配置方法。,10.3.1,定义,Snort,变量,/etc/snort/snort.conf,文件是,snort,命令运行时的主配置文件，为了使用的方便，用户可以在其中定义许多变量，以便以后在其它位置进行引用。另外，,Snort,系统本身也使用某些名称的变量，用户赋予的值将影响,Snort,的工作状态。变量的值一般是文件系统中的路径、,IP,地址、端口号等。,10.3.2,配置,Snort,选项,执行,snort,命令时，可以通过指定命令行选项使,Snort,工作于不同的状态，实际上，很多的命令行选项都可以在,snort.conf,文件中进行配置，于是，就不需要在,snort,命令行中指定了。除了命令行选项外，在,snort.conf,文件中还可以指定其它一些不能在命令行中使用的选项。配置,Snort,选项的格式如下：,config,:,10.3.3,配置,Snort,预处理模块,预处理程序从,1.5,版的,Snort,开始引入，它可以使用户和程序员能够将模块化的插件方便地集成到,Snort,中，使,Snort,的功能非常容易地得到扩展。预处理程序代码在数据包解码之后，并在入侵检测引擎被调用之前运行，这样，数据包就可以通过额外的方法被分析或修改。,1,Frag3,模块,2,HTTP Inspect,模块,3,SMTP,解码器,10.3.4,配置,Snort,输出插件,配置输出插件可以允许,Snort,为用户提供更加人性化的输出，它们在,Snort,的报警和日志模块中被调用，以便把预处理和入侵检测引擎中产生的数据输出。每一个输出插件与某一事件相联系，当该事件发生时，这些输出模块将依次被调用。,10.3.5,配置,Snort,规则文件,Snort,软件包本身并不提供规则，用户如果需要，可以从,Snort,的主页下载。,Snort,网站为三种不同的用户提供不同的规则更新服务。,为了获取,Snort,规则，需要在,http:/www.snort.org,网站上注册一个用户账号，接着在主页上选择,Rules,及,VRT Rules,链接，然后在页面中间找到为注册用户提供的,2.8,版的规则集，并单击,Download,链接下载。下载后的文件约为,66,M,，,文件名是,snortrules,-snapshot-2.8.tar,。,10.4,编写,Snort,规则,前面介绍,了,Snort,规则的获得、配置与使用，这些规则是由各种组织或厂商提供的。有时用户也希望能够自己编写,Snort,规则，以便能对最新的入侵行为作出反应。下面介绍一下有关,Snort,规则的编写方法。,10.4.1,Snort,规则基础,Snort,使用一种简单的，轻量级的规则描述语言，这种语言灵活而强大。一条,Snort,规则包含两个逻辑部分：规则头和规则选项。,书写,Snort,规则时，所有的内容都应该在一个单行上，如果需要分成多行书写的，要在行尾加上分隔符“,”,。另外，,snort.conf,文件中定义的变量都可以在规则中使用，最常用的变量是,HOME_NET,和,EXTERNAL_NET,，,分别表示本地子网和其它网段。,10.4.2,Snort,规则头,规则头定义了一个数据包的,who,，,where,和,what,信息，以及当数据包满足了规则定义的所有选项的值时，将对数据包采取什么样的动作。,在规则头中，紧跟着规则动作的下一个域是协议类型。,Snort,当前可以分析的协议类型有四种：,TCP,、,UDP,、,ICMP,和,IP,，,这已经包括了,Internet,最主要的协议。,接下来的域是,IP,地址。除了单个,IP,地址外，还可以使用以,IP,地址和,CIDR,块组成的,IP,地址段。,10.4.3,Snort,规则选项,Snort,的规则选项是入侵检测引擎的核心，所有的入侵行为都可以通过,Snort,规则选项将其表达出来，使用起来非常灵活。所有的,snort,规则选项和选项值之间用“,:”,分隔，而规则选项本身由“,;”,进行分隔。,10.5,小结,入侵检测系统是对网络攻击进行主动防范的一种手段，是保证网络安全的一种重要措施。本章首先介绍有关入侵检测的基础知识，包括网络安全的定义、网络攻击的类型、入侵检测系统的定义等内容。然后介绍最知名的开源入侵检测系统,Snort,，,包括它的三种运行方式、配置方法、规则的使用和编写等内容。,