荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: georgehill (人生不定式), 信区: Linux
标 题: Snort README文件(转寄)
发信站: BBS 荔园晨风站 (Fri Sep 8 17:51:03 2000), 站内信件
【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: xuzq (奔腾), 信区: Security
标 题: Snort README文件(转寄)
发信站: BBS 水木清华站 (Thu Sep 7 15:43:15 2000)
Snort Version 1.6.3 Readme
by Martin Roesch (roesch@clark.net)
翻译 xuzq(xuzq@chinasafer.com)
SNORT可以在IP网络上进行流量分析和包记录,进行协议分析和内容搜索和匹配;可以检
测多种攻击和探测,比如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、OS类型指纹
探测等等。SNORT使用灵活的语言描述要收集或跳过的流量,探测引擎使用模块化的插件
结构。
SNORT集成了多种告警机制来提供实时告警功能,包括:syslog、用户指定文件、UNIX
Socket、通过SMBClient使用WinPopup对Windows客户端告警。
SNORT有三种主要用途:(1)象tcpdump那样的直接获取包(2)用于网络流量分析的包记
录(3)网络入侵检测系统。
SNORT的包记录可以采用两种形式:tcpdump的二进制形式和SNORT自己的ASCII码形式(基
于对方IP地址)。
插件使得探测和报告子系统很容易扩展,现有的插件包括数据库记录、小分片探测、端口
扫描探测和HTTP URI normalization(?)。
使用方法:
命令行:
snort -[options] <filters>
Options:
-A <alert> 将告警模式设为全面、快速和无。全面模式使用通常的
"Classic
Snort"方式向告警文件告警。快速模式只向告警文件中写时戳、消息、IP和端口。无模式
关闭告警功能。从版本1.5开始,Snort加入了一种试验性的告警方式,利用UnixSock向另
外一个进程告警。使用"unsock"参数可以激活这个特性。
-a 显示ARP数据包。
-b 以tcpdump格式记录数据包。所有的数据包以tcpdump的格式保
持他们原来的二进制状态记录到"snort.log"文件中。这个选项使得程序的运行速度更快
,因为不必花时间作数据包的二进制到文本格式的转换。Snort在"-b"模式下,可以很好
地与100Mbps网络配合。
-c <cf> 使用配置文件 <cf>. 这是规则文件,可以告诉系统记录、告
警或忽略哪些网络流量。
-C 捕获数据包有效负载中的ASCII字符,而不是十六进制的字符
。
-d 捕获应用层的数据。
-D 以守护进程模式运行Snort,除非另外指定,告警信息送到
/var/log/snort.alert文件中。
-e 显示/记录二层数据包头数据。
-F <bpf> 从文件<bpf>中读取BPF过滤器。如果只想Snort作为数据包捕
获器或者对巨复杂的BPF过滤器有特别偏好,就可以使用这个选项。
-g <gname> 在初始化工作完成后,以组ID<gname>运行Snort程序。这个选项允
许Snort在初始化工作完成后丢弃root特权,该功能完全出于安全性考虑。
-h <hn> 将本地网(home network)设为<hn>,这是一个典型的C类IP地
址,类似于192.168.1.0或其他。 如果使用这个选项,在记录的网络流量中,右箭头表示
从外网进入的流量,左箭头表示从内网出去的流量。这好像很弱智,但是看起来感觉不错
。
-i <if> 使用网络界面<if>。
-l <ld> 将数据包记录到目录<ld>中。这将建立起一个目录层次结构,
该记录目录作为基础起始目录,该目录下以网络流量中对方IP地址为子目录名称,与该地
址有关的所有数据包被储存在这个目录中。
-M <wkstn> 向<wkstn>文件中的工作站列表发送WinPopup消息。这个选项
要求运行Snort的主机上安装Samba软件或者能够访问到该软件。工作站文件很简单:每一
行包含一个想要发给消息的主机名(Samba名字),开头不需要加"\\"。
-n <num> 在处理了<num>个数据包之后退出。
-N 关闭记录功能,但告警功能依然正常运行。
-o 改变对于数据包应用规则的顺序。标准顺序是Alert->Pass->Log,使用
这个选项之后,变为Pass->Alert->Log。这可以使得用户设置自己告警规则时,不用在命
令行写大量的BPF过滤参数。这个选项是用户要求增加的。
-O 在数据包ASCII捕获方式下,隐藏IP地址。该选项在打印到屏幕或写入记录
文件时,把IP地址变为"xxx.xxx.xxx.xxx"。如果使用了本地网选项(-h),只有本地网
地址会被隐藏,而非本地网地址仍然可见。向喜爱的安全邮件列表发信时是完美的?(
Perfect for posting to
your favorite security mailing list!)
-p 关闭混杂(promiscuous)模式的sniffing。在严重影响你网络的情况
下使用。
-r <tf>
读取tcpdump生成的文件(tcpdump-generated)<tf>。这会让Snort读取和处理指定的文
件。有时候这个选项很有用,比如有一堆影子文件(可能指网络流量内容的捕获文件)要
对其内容进行处理或者甚至有一大堆写入tcpdump格式文件中的重组后的数据包分片(要
处理)。
-s 将告警消息送到syslog去记录。在Linux平台中,这些消息在
/var/log/secure文件中,很多其他平台上消息在/var/log/messages文件中。
-S <n=v> 将值"v"赋给变量名"n"。用于在命令行中给已经在
Snort规则文件中定义的变量赋值。比如:如果已经在Snort规则文件中定义了HOME_NET变
量,可以在命令行中给这个预定义的变量重新赋值。
-t <chroot> 在初始化之后将Snort的根目录变为<chroot>。
-u <uname> 在初始化之后将Snort的UID变为<uname>。
-v 详细模式。把数据包打印到控制台。详细模式有个大问题:速
度慢。如果使用Snort做IDS工作,就不要使用-v选项,否则会丢失数据包(不是很多但有
一些)。
-V 显示版本号并退出。
-x 在看到恼人的IPX数据包时,显示一小条恼人的消息。
-? 显示使用说明并退出。
过滤器:
[FILTERS]:
过滤器是tcpdump中标准的BPF样式的过滤器。参考Snort的man手册可以得到关于如何正确
使用过滤器的更多信息。通常,可以在过滤器中写主机、网络和协议,并且可以包含一些
逻辑符号,综合在一起获取自己感兴趣的特定流量信息。例如:
[zeus ~]# ./snort -h 192.168.1.0/24 -d -v host 192.168.1.1
记录发给和来自主机192.168.1.1的流量。
[zeus ~]# ./snort -h 192.168.1.0/24 -d -v net 192.168.1 and not host
192.168.1.1
记录C类网络192.168.1.0/24上的所有流量,除了发给和来自主机192.168.1.1的流量。请
注意上面命令行中-h选项后面的网络表示与BPF过滤器的命令所使用的格式不同。对此感
到很抱歉,我喜欢CIDR符号但是没有重写libpcap使其一致。
从版本1.3开始,可以使用-F选项从文件中读入BPF过滤器。
规则:
[RULES]:
注意:现在"官方"的规则文档可以在http://www.snort.org/snort_rules.html找到。在
RULES.SAMPLE文件中的信息仍然有效,但是更易读的文档在Web站点上。
规则的格式是相当简单的,在SNORT的发行套件中所包含的RULES.SAMPLE文件涵盖了这些
规则格式。在Web站点上有规则系统如何工作的详细解释。
系统产生的Alerts被记录到一个名为alert的文件中。可以利用工具"rt"或"tail
-f"来查看系统的告警信息。Alerts也可以被送到syslog中(可以用swatch之类的工具来
查看),或者Alerts也可以通过smbclient作为WinPopup消息送出去。阅读INSTALL文件获
取关于如何使用SMB告警选项的信息。
注意:系统可以通过使用-l选项将基于规则的记录重定向到指定的目录。如果没有
指定目录,缺省记录到/var/log/snort中。
--
※ 来源:·BBS 水木清华站 smth.org·[FROM: 210.73.88.186]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.115]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店