《網(wǎng)絡攻防與協(xié)議分析》課件-2.SNORT介紹及策略配置

SNORT介紹及策略配置1SNORT基礎介紹SNORT簡介Snort是一個跨平臺、輕量級的網(wǎng)絡入侵檢測工具，從入侵檢測的分類上看，Snort應當屬于基于網(wǎng)絡的誤用檢測。針對每一種入侵行為，都提煉出它的特征并按照規(guī)范寫成規(guī)則，從而形成一個規(guī)則庫，將捕獲的數(shù)據(jù)包對照規(guī)則庫逐一匹配，若匹配成功，則認為該入侵行為成立。輕巧級，源代碼不到1MB；跨平臺，在Linux,Windows,MacOSX,Solaris,BSD,IRIX,Tru64,HP-UX平臺下均可使用；高性能，使用百兆網(wǎng)絡線速處理；可配置，使用簡單的規(guī)則語言，豐富的日志/配置分析工具；免費，GPL開源數(shù)據(jù)處理過程Internet報文解碼器預處理器檢測引擎日志和告警輸出模塊告警輸出或日志記錄到文件丟棄報文Snort的設計遵守輕量級的網(wǎng)絡入侵檢測系統(tǒng)，基于Libpcap的報文嗅探接口，基于規(guī)則的檢測引擎和支持無限擴展的插件系統(tǒng)。Snort的檢測引擎是基于指紋的規(guī)則，采用模塊化設計。具有豐富的檢測能力（內置規(guī)則），可進行隱蔽掃描，操作系統(tǒng)識別掃描,、緩沖區(qū)溢出攻擊、后門和CGI漏洞利用等等。規(guī)則系統(tǒng)設計十分靈活，易于創(chuàng)建新規(guī)則。Snort的插件有預處理器，報文在被送到檢測引擎之前可以先進行預處理；檢測功能，針對單個報文/報文字段的快速檢測；輸出功能，獲取其他插件的輸出結果。軟件架構嗅探器數(shù)據(jù)采集器預處理器檢測引擎輸出模塊應用層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層嗅探告警、日志數(shù)據(jù)包嗅探模塊：負責監(jiān)聽網(wǎng)絡數(shù)據(jù)包，對網(wǎng)絡進行分析。預處理模塊：該模塊用相應的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”，如端口掃描，IP碎片等。檢測引擎：當數(shù)據(jù)包從預處理器送過來后，檢測引擎依據(jù)預先設置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內容和某條規(guī)則相匹配，就通知報警模塊。輸出報警/日志模塊：如果檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報警，這條報警信息會通過網(wǎng)絡、UNIXsocket、SMB、SNMP協(xié)議的trap命令傳送給日志文件。SNORT安裝過程-CentOS為例1、準備一臺CentOS主機2、安裝軟件基礎依賴3、下載DAQ、Snort和Rules4、安裝DAQ、Snort5、配置Snort參數(shù)6、運行Snort準備一臺最小化安裝的CentOS即可gccgcc-c++flexbisonzlibzlib-devellibpcaplibpcap-develpcrepcre-devellibdnetlibdnet-develtcpdumpepel-releasenghttp2opensslopenssl-develLuaJIT/./configure&&make&&sudomakeinstall/etc/snort/snort.conf運行測試snort-iens33-T-c/etc/snort/snort.confSNORT規(guī)則[Action][Protocol][SourceIP][SourcePort]->[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptionsSnort有6個預定義的動作，分別為：alert：使用所選的警報方法生成警報，然后記錄數(shù)據(jù)包。log：記錄數(shù)據(jù)包，可以記錄在文件或者數(shù)據(jù)庫中。pass：Snort會直接跳過該包，在設置該動作時可以加快Snort的操作速度。drop：阻止并記錄數(shù)據(jù)包。reject：如果協(xié)議是TCP，則阻止數(shù)據(jù)包，記錄日志，然后發(fā)送TCP重置消息，如果協(xié)議是UDP，則發(fā)送ICMP端口不可達消息sdrop：阻止數(shù)據(jù)包，但不要記錄它。SNORT規(guī)則[Action][Protocol][SourceIP][SourcePort]->[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptions協(xié)議類型Snort當前分析可疑包的ip協(xié)議有四種：TCP、UDP、ICMP和IP。將來可能會更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等。IP地址關鍵字“any”可以被用來定義任何地址。地址就是由直接的數(shù)字型IP地址和一個子網(wǎng)掩碼組成的，例如00/24。端口號端口號可以用幾種方法表示，包括“any”端口、靜態(tài)端口定義、范圍以及通過否定操作符?！癮ny”端口是一個通配符，表示任何端口。靜態(tài)端口定義表示一個單個端口號，例如23表示telnet，80表示http等等。端口范圍用范圍操作符“:”表示。方向操作符方向操作符“->”表示規(guī)則所施加的流的方向。方向操作符左邊的ip地址和端口號被認為是流來自的源主機，方向操作符右邊的ip地址和端口信息是目標主機，還有一個雙向操作符“<>”。SNORT規(guī)則[Action][Protocol][SourceIP][SourcePort]->[DestIP][DestPort]([RuleOptions])RuleHeaderRuleOptions規(guī)則選項規(guī)則選項是snort入侵檢測引擎的核心。規(guī)則選項用分號“；”隔開。選項關鍵字和參數(shù)用冒號“:”分開。msg：在報警和包日志中打印一個消息。logto：把包記錄到用戶指定的文件中而不是記錄到標準輸出。ttl：檢查ip頭的ttl的值。tos：檢查IP頭中TOS字段的值。id：檢查ip頭的分片id值。ipoption：查看IP選項字段的特定編碼。fragbits：檢查IP頭的分段位。dsize：檢查包的凈荷尺寸的值。flags：檢查tcpflags的值。seq：檢查tcp順序號的值。ack：檢查tcp應答（acknowledgement）的值。itype：檢查icmptype的值。icode：檢查icmpcode的值。icmp_id：檢查ICMPECHOID的值。icmp_seq：檢查ICMPECHO順序號的值。session：記錄指定會話的應用層信息的內容。rpc：監(jiān)視特定應用/進程調用的RPC服務。resp：主動反應（切斷連接等）。react：響應動作（阻塞web站點）。reference：外部攻擊參考ids。sid：snort規(guī)則id。rev：規(guī)則版本號。classtype：規(guī)則類別標識。priority：規(guī)則優(yōu)先級標識號。uricontent：在數(shù)據(jù)包的URI部分搜索一個內容。tag：規(guī)則的高級記錄行為。ip_proto：IP頭的協(xié)議字段值。sameip：判定源IP和目的IP是否相等。stateless：忽略流狀態(tài)的有效性。regex：通配符模式匹配。distance：強迫關系模式匹配所跳過的距離。within：強迫關系模式匹配所在的范圍。byte_test：數(shù)字模式匹配。byte_jump：數(shù)字模式測試和偏移量調整。flow：這個選項要和TCP流重建聯(lián)合使用。2SNORT規(guī)則配置實驗SNORT規(guī)則配置實驗ClientCentOS-SNORTens33實驗目的對snort在full報警模式下進行入侵檢測規(guī)則編寫，并進行訪問驗證。實驗背景Client通過網(wǎng)絡訪問部署SNORT的CentOS設備，通過部署SNORT規(guī)則發(fā)現(xiàn)Client的訪問行為。SNORT規(guī)則配置實驗ClientCentOS-SNORTens33CentOS-SNORT配置規(guī)則，檢查SYN包alerttcpanyany->anyany(msg:"SYNPacketGot!";flags:S,CE;sid:3;)1、進入到SNORT規(guī)則目錄下，使用vi編輯器編輯local.rules文件[root@localhost~]#cd/etc/snort/rules/[root@localhostrules]#vilocal.rules2、將規(guī)則輸入到”local.rules”文件中，并保存退出3、啟動SNORT[root@localh