没有合适的资源?快使用搜索试试~ 我知道了~
Snort+中文手册.doc
需积分: 12 8 下载量 31 浏览量
2010-02-07
17:54:33
上传
评论
收藏 110KB DOC 举报
温馨提示
试读
35页
Snort+中文手册,包含snort简介、snort规则配置、预处理程序、输出插件等内容介绍和实例
资源推荐
资源详情
资源评论
Snort 中文手册
摘要
有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器
模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记
录器 模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配
置的。我们可以让 分析网络数据流以匹配用户定义的一些规则,并根据
检测结果 采取一定的动作。
Snort 用户手册
第一章 snort 简介
有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探
器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包
记录器 模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可
配置的。我们可以让 分析网络数据流以匹配用户定义的一些规则,并根
据检测结果 采取一定的动作。
嗅探器
所谓的嗅探器模式就是 从网络上读出数据包然后显示在你的控制台上。
首先,我们从最基本的用法入手。如果你只要把 包头信息打印在屏幕上,
只需要输入下面的命令:
使用这个命令将使 只输出 和 的包头信息。如果你
要看到应用层的数据,可以使用:
这条命令使 在输出包头信息的同时显示包的数据信息。如果你还要显
示数据链路层的信息,就使用下面的命令:
注意这些选项开关还可以分开写或者任意结合在一块。例如:下面的命令就
和上面最后的一条命令等价:
数据包记录器
如果要把所有的包记录到硬盘上,你需要指定一个日志目录, 就会自
动记录数据包:
当然, 目录必须存在,否则 就会报告错误信息并退出。当
在这种模式下运行,它会记录所有看到的包将其放到一个目录中,这个目录以
数据包目的主机的 地址命名,例如:!
如果你只指定了 命令开关,而没有设置目录名, 有时会使用远程主
机的 地址作为目录,有时会使用本地主机 地址作为目录名。为了只对本地
网络进行日志,你需要给出本地网络:
"!#
这个命令告诉 把进入 类网络 ! 的所有包的数据链路、
以及应用层的数据记录到目录 中。
如果你的网络速度很快,或者你想使日志更加紧凑以便以后的分析,那么应
该使用二进制的日志文件格式。所谓的二进制日志文件格式就是 $%&'% 程
序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件
中:
(
注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络,因为所
有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用、 功能
选项,因为数据包中的所有内容都会被记录到日志文件中。
你可以使用任何支持 $%&'% 二进制格式的嗅探器程序从这个文件中读出
数据包,例如: $%&'% 或者 )"*。使用 功能开关,也能使 读
出包的数据。 在所有运行模式下都能够处理 $%&'% 格式的文件。例
如:如果你想在嗅探器模式下把一个 $%&'% 格式的二进制文件中的包打印
到屏幕上,可以输入下面的命令:
%*$+
在日志包和入侵检测模式下,通过 ,-,.*$+-/接口,你可以
使用许多方式维护日志文件中的数据。例如,你只想从日志文件中提取
包,只需要输入下面的命令行:
%*$+ /$'%
网络入侵检测系统
最重要的用途还是作为网络入侵检测系统0.,使用下面命令行可
以启动这种模式:
"!#$$1
$1 是规则集文件。 会对每个包和规则集进行匹配,发现这样
的包就采取相应的行动。如果你不指定输出目录, 就输出到*
目录。
注意:如果你想长期使用 作为自己的入侵检测系统,最好不要使用
选项。因为使用这个选项,使 向屏幕上输出一些信息,会大大降低
的处理速度,从而在向显示器输出的过程中丢弃一些包。
此外,在绝大多数情况下,也没有必要记录数据链路层的包头,所以 选项
也可以不用:
"!# $$1
这是使用 作为网络入侵检测系统最基本的形式,日志符合规则的包,
以 2. 形式保存在有层次的目录结构中。
网络入侵检测模式下的输出选项
在 0. 模式下,有很多的方式来配置 的输出。在默认情况下,
以 2. 格式记录日志,使用 1& 报警机制。如果使用 1& 报警机制,
会在包头之后打印报警消息。如果你不需
要日志包,可以使用0 选项。
有 种报警机制:1&、1*、$+、3 、'(4/%%&%
和 。其中有 # 个可以在命令行状态下使用2 选项设置。这 # 个是:
21*:报警信息包括:一个时间戳/'*'%、报警消息、源目
的 地址和端口。
21&:是默认的报警模式。
2&$+:把报警发送到一个 05 套接字,需要有一个程序进行监
听,这样可以实现实时报警。
2:关闭报警机制。
使用 选项可以使 把报警消息发送到 3 ,默认的设备是
67892:;< 和 678926);。可以修改 $1 文件修改其配置。
还可以使用 ., 报警机制,通过 .2,2 把报警消息发送到
=/4 主机。为了使用这个报警机制,在运行$> & 脚本时,必须使
用*('(* 选项。
下面是一些输出配置的例子:
使用默认的日志方式以解码的 2. 格式并且把报警发给 3 :
$$1 "!#
使用二进制日志格式和 ., 报警机制:
$$1(=7;?.270.
第二章 编写 snort 规则
基础
使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在
开发 规则时要记住几个简单的原则。
第一, 大多数 规则都写在一个单行上,或者在多行之间的行尾用分
隔。. 规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的
动作,协议,源和目标 /% 地址与网络掩码,以及源和目标端口信息;规则选项
部分包含报警消息内容和要检查的包的具体部分。
下面是一个规则范例:
*$%*3*3@!#$AB!*CBAD
' A'&*$$AD
第一个括号前的部分是规则头(&"*),包含的括号内的部分是规
则选项(&%/)。规则选项部分中冒号前的单词称为选项关键字
(%/+34)。注意,不是所有规则都必须包含规则选项部分,选项
部分只是为了使对要收集或报警,或丢弃的包的定义更加严格。组成一个规则
的所有元素 对于指定的要采取的行动都必须是真的。当多个元素放在一起时,
可以认为它们组成了一个逻辑与(20)语句。同时, 规则库文件中的
不同规则可以 认为组成了一个大的逻辑或(7;)语句。
规则高级概念
Includes:
/$& 允许由命令行指定的规则文件包含其他的规则文件。
格式:
/$&
注意在该行结尾处没有分号。被包含的文件会把任何预先定义的变量值替换为
自己的变量引用。参见变量(<*/*()一节以获取关于在 .07; 规则文件
中定义和使用变量的更多信息。
Variables :
变量可能在 中定义。
格式:
*
例子:
*E90)!#
*$%*3*3@FE90)*3G* .D' A.E0%*$+AD
规则变量名可以用多种方法修改。可以在AFA操作符之后定义变量。AHA和
AA可用于变量修改操作符。
F*定义变量。
F*用变量A*A的值替换。
F*1*&用变量A*A的值替换,如果A*A没有定义用A1*&A替
换。
F*H'* 用变量A*A的值替换或打印出错误消息A'* A然后
退出。
例子:
*E90)FE90)!#
$%*3*3@FE90)HE90)/&>I
Cong
. 的很多配置和命令行选项都可以在配置文件中设置。
剩余34页未读,继续阅读
资源评论
harriet11
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功