Snort 中文手册

Snort中文手册摘要snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。(2003-12-1116:39:12)Snort用户手册第一章snort简介snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。嗅探器所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先，我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令：./snort-v使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据，可以使用：./snort-vd这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息，就使用下面的命令：./snort-vde注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令等价：./snort-d-v–e数据包记录器如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包：./snort-dev-l./log当然，./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名，例如：192.168.10.1如果你只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录，有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志，你需要给出本地网络：./snort-dev-l./log-h192.168.1.0/24这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。如果你的网络速度很快，或者你想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中：./snort-l./log-b注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络，因为所有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项，因为数据包中的所有内容都会被记录到日志文件中。你可以使用任何支持tcpdump二进制格式的嗅探器程序从这个文件中读出数据包，例如：tcpdump或者Ethereal。使用-r功能开关，也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件。例如：如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上，可以输入下面的命令：./snort-dv-rpacket.log在日志包和入侵检测模式下，通过BPF(BSDPacketFilter)接口，你可以使用许多方式维护日志文件中的数据。例如，你只想从日志文件中提取ICMP包，只需要输入下面的命令行：./snort-dvrpacket.logicmp网络入侵检测系统snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：./snort-dev-l./log-h192.168.1.0/24-csnort.confsnort.conf是规则集文件。snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动。如果你不指定输出目录，snort就输出到/var/log/snort目录。注意：如果你想长期使用snort作为自己的入侵检测系统，最好不要使用-v选项。因为使用这个选项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包。此外，在绝大多数情况下，也没有必要记录数据链路层的包头，所以-e选项也可以不用：./snort-d-h192.168.1.0/24-l./log-csnort.conf这是使用snort作为网络入侵检测系统最基本的形式，日志符合规则的包，以ASCII形式保存在有层次的目录结构中。网络入侵检测模式下的输出选项在NIDS模式下，有很多的方式来配置snort的输出。在默认情况下，snort以ASCII格式记录日志，使用full报警机制。如果使用full报警机制，snort会在包头之后打印报警消息。如果你不需要日志包，可以使用-N选项。snort有6种报警机制：full、fast、socket、syslog、smb(winpopup)和none。其中有4个可以在命令行状态下使用-A选项设置。这4个是：-Afast：报警信息包括：一个时间戳(timestamp)、报警消息、源/目的IP地址和端口。-Afull：是默认的报警模式。-Aunsock：把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以实现实时报警。-Anone：关闭报警机制。使用-s选项可以使snort把报警消息发送到syslog，默认的设备是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。snort还可以使用SMB报警机制，通过SAMBA把报警消息发送到Windows主机。为了使用这个报警机制，在运行./configure脚本时，必须使用--enable-smbalerts选项。下面是一些输出配置的例子：使用默认的日志方式(以解码的ASCII格式)并且把报警发给syslog：./snort-csnort.conf-l./log-s-h192.168.1.0/24使用二进制日志格式和SMB报警机制：./snort-csnort.conf-b-MWORKSTATIONS第二章编写snort规则基础snort使用一种简单的，轻量级的规则描述语言，这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。第一，大多数snort规则都写在一个单行上，或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分：规则头和规则选项。规则头包含规则的动作，协议，源和目标ip地址与网络掩码，以及源和目标端口信息；规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例：alerttcpanyany-192.168.1.0/24111(content:|000186a5|;msg:mountdaccess;)第一个括号前的部分是规则头（ruleheader），包含的括号内的部分是规则选项（ruleoptions）。规则选项部分中冒号前的单词称为选项关键字（optionkeywords）。注意，不是所有规则都必须包含规则选项部分，选项部分只是为了使对要收集或报警，或丢弃的包的定义更加严格。组成一个规则的所有元素对于指定的要采取的行动都必须是真的。当多个元素放在一起时，可以认为它们组成了一个逻辑与（AND）语句。同时，snort规则库文件中的不同规则可以认为组成了一个大的逻辑或（OR）语句。规则高级概念Includes:include允许由命令行指定的规则文件包含其他的规则文件。格式：include:注意在该行结尾处没有分号。被包含的文件会把任何预先定义的变量值替换为自己的变量引用。参见变量（Variables）一节以获取关于在SNORT规则文件中定义和使用变量的更多信息。Variables:变量可能在snort中定义。格式：var:例子：varMY_NET192.168.1.0/24alerttcpanyany-$MY_NETany(flags:S;msg:SYNpacket;)规则变量名可以用多种方法修改。可以在$操作符之后定义变量。?和-可用于变量修改操作符。$var-定义变量。$(var)-用变量var的值替换。$(var:-default)-用变量var的值替换，如果var没有定义用default替换。$(var:?message)-用变量var的值替换或打印出错误消息message然后退出。例子：varMY_NET$(MY_NET:-192.168.1.0/24)logtcpanyany-$(MY_NET:?MY_NETisundefined!)23ConfigSnort的很多配置和命令行选项都可以在配置文件中设置。格式：config[:]Directivesorder改变规则的顺序(snort-o)alertfile设置报警输出文件，例如：configalertfile:alertsclassification创建规则分类。decode_arp开启arp解码功能。(snort-a)dump_chars_only开启字符倾卸功能。(snort-C)dump_payload倾卸应用层数据。(snort-d)decode_data_link解码第二层数据包头。(snort-e)bpf_file指定BPF过滤器(snort-F)。例如：configbpf_file:filename.bpfset_gid改变GID(snort-g)。例如：configset_gid:snort_groupdaemon以后台进程运行。(snort-D)reference_net设置本地网络。(snort-h).例如：configreference_net:192.168.1.0/24interface设置网络接口(snort–i)。例如：configinterface:xl0alert_with_interface_name报警时附加上接口信息。(snort-I)logdir设置记录目录(snort-l)。例如：configlogdir:/var/log/snortumask设置snort输出文件的权限位。(snort-m).Example:configumask:022pkt_count处理n个数据包后就退出。(snort-n).Example:configpkt_count:13nolog关闭记录功能，报警仍然有效。(snort-N)obfuscate使IP地址混乱(snort-O)no_promisc关闭混杂模式。(snort-p)quiet安静模式，不显示标志和状态报告。(snort-q)checksum_mode计算校验和的协议类型。类型值：none,noip,notcp,noicmp,noudp,allutc在时间戳上用UTC时间代替本地时间。(snort-U)verbose将详细记录信息打印到标准输出。(snort-v)dump_payload_verbose倾卸数据链路层的原始数据包(snort-X)show_year在时间戳上显示年份。(snort-y)stateful为stream4设置保证模式。min_ttl设置一个snort内部的ttl值以忽略所有的流量。disable_decode_alerts关闭解码时发出的报警。disable_tcpopt_experimental_alerts关闭tcp实验选项所发出的报警。disable_tcpopt_obsolete_alerts关闭tcp过时选项所发出的报警。disable_tcpopt_ttcp_alerts关闭ttcp选项所发出的报警。disable_tcpopt_alerts关闭选项长度确认报警。disable_ipopt_alerts关闭IP选项长度确认报警。detection配置检测引擎。(例如：search-methodl