基于Snort的入侵检测系统 [复制链接]

论坛徽章:: 1

51楼 [报告]

发表于 2006-10-10 23:40 |只看该作者

4.1.1HTTP解码\r\nSnort可以对HTTP协议各种形式的编码进行解码，并从中找出已知的攻击特征。你可以将HTTP服务器的端口列表作为HTTP解码预处理器的参数。例如下面的命令可以对在80，8080和443端口的HTTP相关数据包进行解码，以便探测引擎处理：\r\npreprocessor http_decode: 80 8080 443\r\n尤其重要的是，如我们前面所提到的，关于HTTP的攻击也常用各种变换形式，如果应用HTTP解码预处理器，就可以更有效的探测到这些企图。\r\n\r\n4.1.2端口扫描\r\n端口扫描是用来发现网络上主机开放的端口的方法。任何入侵者的第一个行动通常都是找出网络上在运行一些什么样的服务。一旦入侵者找到了这样的信息，就可以尝试针对相关服务弱点的攻击了。端口扫描预处理器的作用是监测端口扫描的活动，这种预处理器可以将端口扫描行为记录到指定的位置或者标准的日志。黑客们使用很多种扫描方式，你也可以查看nmap的文档来获得更多的信息。\r\n下面是在snort.conf中应用端口扫描预处理器的大体格式：\r\npreprocessor portscan: <address> <ports> <time period> <file>\r\n这个预处理器有4个相关的参数\r\n所监控的地址范围，采用CIDR规格。\r\n在一个时间段内访问的端口数目，例如这个参数取5表示在一个时间段内，如果超过5个端口被扫描，则产生告警。\r\n时间段，用来配合上个参数的门限时间范围，用秒表示。\r\n记录日志的文件路径。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

52楼 [报告]

发表于 2006-10-10 23:40 |只看该作者

下面是个配置实例，用来监测针对网络192.168.1.0/24的端口扫描，并将日志记录到/var/log/snort/portscan.log文件中。\r\npreprocessor portscan: 192.168.1.0/24 5 10 \\\r\n/var/log/snort/portscan.log\r\n\r\n端口扫描活动是针对TCP和UDP端口的。端口扫描预处理器可以监测正常端口和隐秘端口的扫描。针对隐秘端口的扫描，可以查看nmap的相关文档或网站。端口扫描的主要方法如下：\r\n\r\nTCP端口连接扫描。这种方式试图对某个端口进行标准的TCP连接，如果连接建立，则表示这个端口是打开的。\r\n\r\nSYN扫描。入侵者发送一个带有SYN标志的TCP包到某个端口，如果收到了带有SYN和ACK标志的回应，那么这个端口是打开的，如果收到了带有RST标志的包，这个端口就是关闭的。\r\n\r\nNULL端口扫描，FIN端口扫描，XMAS端口扫描，这是几个比较类似的扫描方式。入侵者发送一个TCP包出去，如果收到带有RST标志的包，表示端口是关闭的，如果什么包也没有收到，就有端口打开的可能性。\r\n\r\n还有一种预处理器，可以和这种预处理器一同工作，它叫做端口扫描忽略预处理器，用来忽略针对某些主机的扫描行为，用法如下例所示：\r\n\r\npreprocessor portscan-ignorehosts: 192.168.1.10/32 \\\r\n192.168.1.13/32

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

53楼 [报告]

发表于 2006-10-10 23:40 |只看该作者

4.1.3 frag2模块\r\n这个预处理器用来组装包的分片，老版本的Snort用defrag。\r\n应用frag2的时候，你可以配置组装分片的超时和内存上限。默认情况下是4M的内存和60秒的超时界限。如果在这个时间段内没有完成，就把包丢弃。下面的命令用默认参数打开frag2：\r\npreprocessor frag2\r\n下面的命令将frag2配置为2M的内存上限和30秒的超时。\r\n在一个高速的网络中，你应该用更多的内存上限。\r\n\r\n4.1.4 stream4模块\r\n\r\n这个模块用来代替老版本的Stream模块，它有两个基本功能：\r\nTcp数据流的组装\r\n状态监测\r\n\r\n为了使Stream4正常工作，你必须在snort.conf中配置两个预处理器，分别是“stream4”和“stream4_reassemble.”它们都有很多的参数，如果你不配置这些参数，系统就会采用默认值。Stream4预处理器的大体格式如下：\r\npreprocessor stream4: [noinspect], [keepstats], \\\r\n[timeout <seconds>], [memcap <bytes>], [detect_scan], \\\r\n[detect_state]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

54楼 [报告]

发表于 2006-10-10 23:41 |只看该作者

下面是关于各个参数的描述和默认值\r\n \r\n参数表述默认值 \r\nNoinspect 关闭状态监测 ACTIVE \r\nKeepstats 将会话概要记录到session.log文件中 INACTIVE \r\nTimeout 保持一个活动会话的超时 30秒 \r\nMemcap 这个模块利用的最大内存 8MB \r\nDetect_scan 监测端口扫描活动 INACTIVE \r\nDetect_state_problems 监测TCP流相关的各种问题 INACTIVE \r\n\r\n\r\n下面是stream4_reassemble预处理器的主要格式：\r\npreprocessor stream4_reassemble: [clientonly],\r\n[serveronly],[noalerts],[ports<portlist>]\r\n下面是这个预处理器的主要参数的描述\r\n \r\n参数表述 \r\nClientonly 仅仅组装客户端的数据流 \r\nSeveronly 仅仅组装服务器端的数据流 \r\nNoalerts 在遇到逃避和嵌入式攻击时不告警 \r\nPorts 组装关于特定端口的数据流的端口列表，用空格分隔，all表示端口21，23，25，53，80，110，111，143和513。指定少数的端口可以节省CPU时间。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

55楼 [报告]

发表于 2006-10-10 23:41 |只看该作者

4.1.5 spade模块\r\nSPADE是统计包异常探测引擎的缩写，你可以在http://www.silicondefense.com/so ... 拗道幢ǜ嬉斐Ｇ榭觥�\r\n要记住SPADE对系统的要求比较高，尤其是在高负荷的网络上，因此要小心使用。\r\n4.1.6 ARP欺骗\r\nARP用来获得某个IP地址相关的MAC地址。\r\nARP协议也被很多人用来攻击，探测和欺骗。ARP欺骗可以将到某个主机的通信重定向到别的地方。\r\nArpspoof预处理器用来探测ARP包中的异常，它可以做以下的事情：\r\n对于所有的ARP请求，如果源MAC地址与发送者的MAC地址不同，就产生告警。\r\n对于APR回应包，如果源MAC地址与发送者的MAC地址不同，或目的MAC地址与接收者的MAC地址不同，就会产生告警。\r\n对于单播ARP请求，若目的MAC不是广播地址(FF:FF:FF:FF:FF:FF)，就产生告警。为了实现这个功能，你需要在snort.conf中加入这样一行：as “preprocessor arpspoof: -unicast”。\r\n你可以在Snort内部缓存中预先存放MAC-IP映射对，如果遇到不匹配，系统就会产生告警。\r\n下面的一行添加一个IP-MAC对，可以用来探测ARP欺骗的企图。\r\npreprocessor arpspoof_detect_host: 192.168.1.13 \\\r\n34:45:fd:3e:a2:01

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

56楼 [报告]

发表于 2006-10-10 23:41 |只看该作者

4.2输出模块\r\n\r\n输出模块用来控制Snort探测引擎的输出，你可以将输出的信息送到各种目标。比如：\r\n数据库\r\nSMB弹出窗口\r\n系统日志\r\nXML或者CSV文件。\r\n\r\n在snort.conf中配置输出模块的命令大体如下所示：\r\noutput <module_name>[: arguments]\r\n比如你希望将信息记录到名为snort的MySQL数据库，可以采用如下的配置：\r\noutput database: log, mysql, user=rr password=rr \\\r\ndbname=snort host=localhost\r\n一旦你在配置输出模块加入上面着一行，所有的告警都送到MySQL数据库中，在日志文件中就不会出现了，也有一些方法可以将告警送到不同的目标。\r\n\r\n下面的例子是将SMB弹出窗口送到workstation.list文件中列举的主机上：\r\noutput alert_smb: workstation.list\r\n有时候你可能需要将告警发到多种目标，那么用ruletype关键字自定义动作时一个好主意。例如，下面豫剧定义了一个动作，将告警同时发送到数据库和SMB弹出窗口。\r\nruletype smb_db_alert\r\n{\r\ntype alert\r\noutput alert_smb: workstation.list\r\noutput database: log, mysql, user=rr password=rr \\\r\ndbname=snort host=localhost\r\n}\r\n下面的规则应用了上面的自定义动作。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

57楼 [报告]

发表于 2006-10-10 23:41 |只看该作者

smb_db_alert icmp any any -> 192.168.1.0/24 any \\\r\n(fragbits: D; msg: \"Dont Fragment bit set\"

\r\n\r\n4.2.1 alert_syslog输出模块\r\n几乎所有的UNIX系统中都有系统日志守护进程syslog,它的配置文件是/etc/syslog.conf。你可以查看syslogd和syslog.conf的手册来获得更多信息。\r\nAlert_syslog模块使你能够将告警发送到系统日志钟。如果你需要的话，系统日志守护进程也可以将告警发送到其他的主机。下面是这个模块的配置格式：\r\noutput alert_syslog: <facility> <priority> <options>\r\n其中，facility可以取得值包括：

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

58楼 [报告]

发表于 2006-10-10 23:42 |只看该作者

• LOG_AUTH\r\n• LOG_AUTHPRIV\r\n• LOG_DAEMON\r\n• LOG_LOCAL0\r\n• LOG_LOCAL1\r\n• LOG_LOCAL2\r\n• LOG_LOCAL3\r\n• LOG_LOCAL4\r\n• LOG_LOCAL5\r\n• LOG_LOCAL6\r\n• LOG_LOCAL7\r\n• LOG_USER\r\npriority的取值包括：\r\n• LOG_EMERG\r\n• LOG_ALERT\r\n• LOG_CRIT\r\n• LOG_ERR\r\n• LOG_WARNING\r\n• LOG_NOTICE\r\n• LOG_INFO\r\n• LOG_DEBUG\r\n这里LOG_EMERG是最高优先级的，而LOG_DEBUG是最低优先级的。\r\nOptions的取值可以是：\r\n• LOG_CONS\r\n• LOG_NDELAY\r\n• LOG_PERROR\r\n• LOG_PID\r\n4.2.2 alert_full输出模块\r\n这个模块用来想文件记录详尽的告警信息。下面的配置让系统把日志记录到Snort日志目录的alert_detailed文件中：\r\noutput alert_full: alert_detailed\r\n尽管这个模块可以使你得到详细的信息，但是也会导致系统资源的大量消耗，在一个高负载的网络环境中，可能导致系统来不及响应而使探测引擎忽略一些数据包。\r\n4.2.3 alert_fast输出模块\r\n如前面所提到的，记录详细的信息可能导致系统资源的过度消耗，因此Snort提供快速记录简要信息的输出模块，每个信息只有一行，这个模块的配置如下所示：\r\noutput alert_fast: alert_quick\r\n4.2.4 alert_smb模块\r\n这个模块用linux的SAMBA客户端smbclient程序向Windows工作站发送SMB告警，使用之前确定smbclient程序的路程在PATH环境变量中。\r\n下面是一个示例：\r\noutput alert_smb: workstation.list\r\n每个工作站的SMB名称都要分行列在workstation.list文件中。SMB名称就是Windows机器的计算机名称。客户端程序会自己解析这个名称。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

59楼 [报告]

发表于 2006-10-10 23:42 |只看该作者

4.2.5 log_tcpdump模块\r\n这个模块用来将告警数据存放为tcpdump格式，这种方法便于高负荷网络中提高分析数据的速度。下面是配置格式：\r\noutput log_tcpdump: <filename>\r\n下面是一个示例：\r\noutput log_tcpdump: /var/log/snort/snort_tcpdump.log\r\n4.2.6 XML输出模块\r\nSnort可以用SNML（Simple Network Modeling Language）来输出告警以便基于XML的解释器或浏览器阅读。\r\n通过这个插件，你可以将XML数据存放在本地机器上或者通过HTTP及HTTP协议传送到Web服务器上。\r\nXML输出模块的基本用法如下：\r\noutput xml: [log | alert], [parameter list]\r\n你可以选择用XML记录告警或者日志，其他的参数如下表所示：\r\n \r\n参数描述 \r\nFile 将数据储存到XML文件中 \r\nProtocol 将信息记录到其他机器上用的协议如HTTP，HTTPS。 \r\nHost 记录信息的远程主机 \r\nPort 记录信息的远程主机的端口 \r\nCert Https用到的证书 \r\nKey 客户端私钥 \r\nCa 认证证书的服务器 \r\nServer X.509证书的CN

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

60楼 [报告]

发表于 2006-10-10 23:42 |只看该作者

4.2.6.1例子\r\n将日志记录到本地主机上的文件“xmlout”：\r\noutput xml: log, file=xmlout\r\n文件名字会添加时间和日期作为后缀，这样的目的是为多个Snort进程服务。\r\n\r\n将日志记录用HTTP协议到snort.conformix.com的xmlout文件上：\r\noutput xml: alert, protocol=http \\\r\nhost=snort.conformix.com file=xmlout\r\n将日志记录用HTTPS协议到snort.conformix.com的xmlout文件上：\r\noutput xml: alert, protocol=https \\\r\nhost=snort.conformix.com file=xmlout cert=conformix.crt \\\r\nkey=conformix.pem ca=ca.crt server=Conformix_server\r\n将日志记录到监听5555端口的TCP服务器snort.conformix.com上：\r\noutput xml: alert, protocol=tcp \\\r\nhost=snort.conformix.com port=5555\r\n典型的输出XML文件如下：\r\n<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<!DOCTYPE snort-message-version-0.2>\r\n<file>\r\n<event version=\"1.0\">\r\n<sensor encoding=\"hex\" detail=\"full\">\r\n<interface>eth0</interface>\r\n<ipaddr version=\"4\">192.168.1.2</ipaddr>\r\n<hostname>conformix.conformix.net</hostname>\r\n</sensor>\r\n<signature>ICMP Packet with TTL=100</signature>\r\n<timestamp>2002-07-23 17:48:31-04</timestamp>\r\n<packet>\r\n<iphdr saddr=\"192.168.1.100\" daddr=\"192.168.1.2\" proto=\"1\" ver=\"4\"\r\nhlen=\"5\" len=\"60\" id=\"37123\" ttl=\"100\" csum=\"519\">\r\n<icmphdr type=\"8\" code=\"0\" csum=\"23612\">\r\n<data>6162636465666768696A6B6C6D6E6F7071727374757677616263646566676869</data>\r\n</icmphdr>\r\n</iphdr>\r\n</packet>\r\n</event>\r\n</file>

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

1 2 3 4 567 8 9 10 / 10 页下一页

返回列表

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › 基于Snort的入侵检测系统