入侵檢測(cè)系統(tǒng)Snortv2.9.1.1 官方版

入侵檢測(cè)系統(tǒng)Snort是一款非常好用的電腦反入侵的軟件，軟件場(chǎng)景主要適用于監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)，就是幫助用戶捕捉從外部網(wǎng)絡(luò)上下載到本地的數(shù)據(jù)包，一旦有危險(xiǎn)就會(huì)發(fā)生信息至管理員處。

軟件介紹

Snort為開(kāi)放源代碼入侵檢測(cè)系統(tǒng)軟件，為用來(lái)監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)。主要工作是捕捉流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，一旦發(fā)現(xiàn)與非法入侵的組合一致，便向管理員發(fā)出警告。

系統(tǒng)模式

探器 

    所謂的嗅探器模式就是snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在你的控制臺(tái)上。首先，我們從最基本的用法入手。如果你只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：

./snort -v

    使用這個(gè)命令將使snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果你要看到應(yīng)用層的數(shù)據(jù)，可以使用：

    　　./snort -vd

    這條命令使snort在輸出包頭信息的同時(shí)顯示包的數(shù)據(jù)信息。如果你還要顯示數(shù)據(jù)鏈路層的信息，就使用下面的命令：

./snort -vde

    注意這些選項(xiàng)開(kāi)關(guān)還可以分開(kāi)寫或者任意結(jié)合在一塊。例如：下面的命令就和上面最后的一條命令等價(jià)：

./snort -d -v –e

數(shù)據(jù)包記錄器

    如果要把所有的包記錄到硬盤上，你需要指定一個(gè)日志目錄，snort就會(huì)自動(dòng)記錄數(shù)據(jù)包：

    　　./snort -dev -l ./log

    當(dāng)然，./log目錄必須存在，否則snort就會(huì)報(bào)告錯(cuò)誤信息并退出。當(dāng)snort在這種模式下運(yùn)行，它會(huì)記錄所有看到的包將其放到一個(gè)目錄中，這個(gè)目錄以數(shù)據(jù)包目的主機(jī)的IP地址命名，例如：192.168.10.1

如果你只指定了-l命令開(kāi)關(guān)，而沒(méi)有設(shè)置目錄名，snort有時(shí)會(huì)使用遠(yuǎn)程主機(jī)的IP地址作為目錄，有時(shí)會(huì)使用本地主機(jī)IP地址作為目錄名。為了只對(duì)本地網(wǎng)絡(luò)進(jìn)行日志，你需要給出本地網(wǎng)絡(luò)：

./snort -dev -l ./log -h 192.168.1.0/24

    這個(gè)命令告訴snort把進(jìn)入C類網(wǎng)絡(luò)192.168.1的所有包的數(shù)據(jù)鏈路、TCP/IP以及應(yīng)用層的數(shù)據(jù)記錄到目錄./log中。

    如果你的網(wǎng)絡(luò)速度很快，或者你想使日志更加緊湊以便以后的分析，那么應(yīng)該使用二進(jìn)制的日志文件格式。所謂的二進(jìn)制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包記錄到一個(gè)單一的二進(jìn)制文件中：

./snort -l ./log -b

    注意此處的命令行和上面的有很大的不同。我們勿需指定本地網(wǎng)絡(luò)，因?yàn)樗�有的東西都被記錄到一個(gè)單一的文件。你也不必冗余模式或者使用-d、-e功能選項(xiàng)，因?yàn)閿?shù)據(jù)包中的所有內(nèi)容都會(huì)被記錄到日志文件中。

    你可以使用任何支持tcpdump二進(jìn)制格式的嗅探器程序從這個(gè)文件中讀出數(shù)據(jù)包，例如： tcpdump或者Ethereal。使用-r功能開(kāi)關(guān)，也能使snort讀出包的數(shù)據(jù)。snort在所有運(yùn)行模式下都能夠處理tcpdump格式的文件。例如：如果你想在嗅探器模式下把一個(gè)tcpdump格式的二進(jìn)制文件中的包打印到屏幕上，可以輸入下面的命令：

    　　./snort -dv -r packet.log

    在日志包和入侵檢測(cè)模式下，通過(guò)BPF(BSD Packet Filter)接口，你可以使用許多方式維護(hù)日志文件中的數(shù)據(jù)。例如，你只想從日志文件中提取ICMP包，只需要輸入下面的命令行：

    　　./snort -dvr packet.log icmp

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

 snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)，使用下面命令行可以啟動(dòng)這種模式：

    　　./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

    snort.conf是規(guī)則集文件。snort會(huì)對(duì)每個(gè)包和規(guī)則集進(jìn)行匹配，發(fā)現(xiàn)這樣的包就采取相應(yīng)的行動(dòng)。如果你不指定輸出目錄，snort就輸出到/var/log/snort目錄。

    注意：如果你想長(zhǎng)期使用snort作為自己的入侵檢測(cè)系統(tǒng)，最好不要使用-v選項(xiàng)。因?yàn)槭褂眠@個(gè)選項(xiàng)，使snort向屏幕上輸出一些信息，會(huì)大大降低snort的處理速度，從而在向顯示器輸出的過(guò)程中丟棄一些包。

    此外，在絕大多數(shù)情況下，也沒(méi)有必要記錄數(shù)據(jù)鏈路層的包頭，所以-e選項(xiàng)也可以不用：

    　　./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf

    這是使用snort作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)最基本的形式，日志符合規(guī)則的包，以ASCII形式保存在有層次的目錄結(jié)構(gòu)中。