当前位置: 首页 » 网络高手 » snort入侵检测系统的简单介绍

snort入侵检测系统的简单介绍

作者:hacker 时间:2022-10-21 阅读数:156人阅读

文字简介:

入侵检测软件snort有哪些功能

Snort最重要的用途还是作为 *** 入侵检测系统(NIDS)。

使用简介

Snort并非复杂难以操作的软体。 Snort可以三个模式进行运作:

侦测模式(Sniffer Mode):此模式下,Snort将在现有的网域内撷取封包,并显示在荧幕上。

封包纪录模式(packet logger mode):此模式下,Snort将已撷取的封包存入储存媒体中(如硬碟)。

上线模式(inline mode):此模式下,Snort可对撷取到的封包做分析的动作,并根据一定的规则来判断是否有网路攻击行为的出现。

基本指令:侦测模式

若你想要在萤幕上显示网路封包的标头档(header)内容,请使用

./snort -v

如果想要在萤幕上显示正在传输的封包标头档内容,请使用

./snort -vd

如果除了以上显示的内容之外,欲另外显示数据链路层(Data link layer)的资料的话,请使用

./snort -vde

如何编写snort的检测规则

snort是一个强大的轻量级的 *** 入侵检测系统。它具有实时数据流量分析和日志IP *** 数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort具有很好的扩展性和可移植性。本文将讲述如何开发snort规则。

1.基础

snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。下面是一些最基本的东西:

snort的每条规则必须在一行中,它的规则解释器无法对跨行的规则进行解析。注意:由于排版的原因本文的例子有的分为两行。

snort的每条规则都可以分成逻辑上的两个部分:规则头和规则选项。规则头包括:规则行为(rule's action)、协议(protocol)、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码,signature),使用这些特征码来决定是否采取规则规定的行动。

这是一个例子:

alert tcp any any - 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";)

表1.一条简单的snort规则

从开头到最左边的括号属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。注意对于每条规则来说规则选项不是必需的,它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包,snort才会执行其规则行为。如果许多选项组合在一起,它们之间是逻辑与的关系。让我们从规则头开始。

1.1 include

snort使用的规则文件在命令行中指定,include关键词使这个规则文件可以包含其它规则文件中的规则,非常类似与C语言中的#include。snort会从被包含的文件读出其内容,取代include关键词。

格式:

include 文件路径/文件名

注意:行尾没有分号。

1.2 varriables

在snort规则文件中可以定义变量。

格式:

var

例子:

var MY_NET 192.168.1.0/24,10.1.1.0/24] $MY_NET any (flags:S;msg:'SYNMETA packet";)

表2.变量的定义和使用

规则变量名可以使用多种方式来修改,你可以使用$操作符来定义元变量(meta-variables)。这些修改方式可以结合变量修改操作符:?和-来使用。

$var:定义元变量

$(var):以变量var的内容作为变量名

$(var:-default):以变量var的内容作为变量名,如果var没有定义就使用default作为变量名

$(var:?message):使用变量var的内容作为变量名,如果不成功就打印错误信息message并退出。

例如:

var MY_NET $(MYU_NET:-192.168.1.0/24) tcp any any - $(MY_NET:?MY_NET is undefined!) 23

表3.高级变量应用

2.规则头(Rule Headers)

2.1 Rule Action

规则头包含一些信息,这些信息包括:哪些数据包、数据包的来源、什么类型的数据包,以及对匹配的数据包如何处理。每条规则的之一项就是规则行为(rule action)。规则行为告诉snort当发现匹配的数据包时,应该如何处理。在snort中,有五种默认的处理方式:alert、log、pass、activate和dynamic。

alert:使用选定的报警 *** 产生报警信息,并且记录数据包

log:记录数据包

pass:忽略数据包

activate:报警,接着打开其它的dynamic规则

dynamic:保持空闲状态,直到被activete规则激活,作为一条log规则

你也可以定义自己的规则类型,把它们和一个或者几个输出插件联系在一起。然后你就可以在snort规则中使用这些规则类型了。

这个例子将建立一个类型,它将只以tcpdump格式输出日志:

ruletype suspicious

{

type log

output log_tcpdump: suspocious.log

}

下面这个例子将建立一个类型,把日志发送到syslog和MySql数据库:

ruletype redalert

{

type alert

output alert_syslog:LOG_AUTH LOG_ALERT

output database:log,user=snort dbname=snort host=localhost

}

2.2 协议

每条规则的第二项就是协议项。当前,snort能够分析的协议是:TCP、UDP和ICMP。将来,可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX等协议的支持。

2.3 IP地址

规则头下面的部分就是IP地址和端口信息。关键词any可以用来定义任意的IP地址。snort不支持对主机名的解析。所以地址只能使用数字/CIDR的形式。/24表示一个C类 *** ;/16表示一个B类 *** ;而/32表示一台特定的主机地址。例如:192.168.1.0/24表示从192.168.1.1到192.168.1.255的地址。

在规则中,可以使用使用否定操作符(negation operator)对IP地址进行操作。它告诉snort除了列出的IP地址外,匹配所有的IP地址。否定操作符使用!表示。例如,使用否定操作符可以很轻松地对表1的规则进行改写,使其对从外部 *** 向内的数据报警。

alert tcp !192.168.1.0/24 any - 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"external mountd access";)

表4.使用IP地址否定操作符的规则

上面这条规则中的IP地址表示:所有IP源地址不是内部 *** 的地址,而目的地址是内部 *** 地址。

你也可以定义一个IP地址列表(IP list)。IP地址列表的格式如下:

[IP地址1/CIDR,IP地址/CIDR,....]

注意每个IP地址之间不能有空格。例如:

alert tcp ![192.168.1.0/24,10.1.1.1.0/24] any -[192.168.1.0/24,10.1.1.0/24] 111 (content:"|00 01 86 a5|";msg:"external mountd access";)

2.4 端口号

在规则中,可以有几种方式来指定端口号,包括:any、静态端口号(static port)定义、端口范围,以及使用非操作定义。any表示任意合法的端口号;静态端口号表示单个的端口号,例如:111(portmapper)、23(telnet)、80(http)等。使用范围操作符:可以指定端口号范围。有几种方式来使用范围操作符:达到不同的目的,例如:

log udp any any - 192.168.1.0/24 1:1024

记录来自任何端口,其目的端口号在1到1024之间的UDP数据包

log tcp any any - 192.168.1.0/24 :600

记录来自任何端口,其目的端口号小于或者等于6000的TCP数据包

log tcp any :1024 - 192.168.1.0/24 500:

记录源端口号小于等于1024,目的端口号大于等于500的TCP数据包

表5.端口范围示例

你还可以使用逻辑非操作符!对端口进行非逻辑操作(port negation)。逻辑非操作符可以用于其它的规则类型(除了any类型,道理很简单)。例如,你如果要日志除了X-window系统端口之外的所有端口,可以使用下面的规则:

log tcp any any - 192.168.1.0/24 !6000:60 10

表6.对端口进行逻辑非操作

2.5 方向操作符(direction operator)

方向操作符-表示数据包的流向。它左边是数据包的源地址和源端口,右边是目的地址和端口。此外,还有一个双向操作符,它使snort对这条规则中,两个IP地址/端口之间双向的数据传输进行记录/分析,例如telnet或者POP3对话。下面的规则表示对一个telnet对话的双向数据传输进行记录:

log !192.168.1.0/24 any 192.168.1.0/24 23

表7.使用双向操作符的snort规则

activate/dynamic规则

activate/dynamic规则对扩展了snort功能。使用activate/dynamic规则对,你能够使用一条规则激活另一条规则。当一条特定的规则启动,如果你想要snort接着对符合条件的数据包进行记录时,使用activate/dynamic规则对非常方便。除了一个必需的选项activates外,激活规则(activate rule)非常类似于报警规则(alert rule)。动态规则(dynamic rule)和日志规则(log rule)也很相似,不过它需要一个选项:activated_by。动态规则还需要另一个选项:count。当一个激活规则启动,它就打开由activate/activated_by选项之后的数字指示的动态规则,记录count个数据包。

下面是一条activate/dynamic规则对的规则:

activate tcp !$HOME_NET any - $HOME_NET 143 (flags:PA;content:"|E8C0FFFFFF|in|;activates:1;

表8.activate/dynamic规则对

这个规则使snort在检测到IMAP缓冲区溢出时发出报警,并且记录后续的50个从$HOME_NET之外,发往$HOME_NET的143号端口的数据包。如果缓冲区溢出成功,那么接下来50个发送到这个 *** 同一个服务端口(这个例子中是143号端口)的数据包中,会有很重要的数据,这些数据对以后的分析很有用处。

3.规则选项

规则选项构成了snort入侵检测引擎的核心,它们非常容易使用,同时又很强大和容易扩展。在每条snort规则中,选项之间使用分号进行分割。规则选项关键词和其参数之间使用冒号分割。截止到写本文为止(snort 1.7版),snort有23个规则选项关键词:

msg:在报警和日志中打印的消息

logto:把日志记录到一个用户指定的文件,而不是输出到标准的输出文件

ttl:测试IP包头的TTL域的值

tos:测试IP包头的TOS域的值

id:测试IP分组标志符(fragment ID)域是否是一个特定的值

ipoption:查看IP选项(IP option)域

fragbits:测试IP包头的分片位(fragmentation bit)

dsize:测试数据包包数据段的大小

flags:测试TCP标志(flag)是否是某个值

seq:测试TCP包的序列号是否是某个值

ack:测试TCP包的确认(acknowledgement)域是否为某个值

itype:测试ICMP数据包的类型(type)域

icode:测试ICMP数据包的编码(code)域

icmp_id:测试ICMP回送包的标志符(ICMP ECHO ID)是否为某个值

content:在数据包的数据段中搜索模式(pattern)

content-list:在数据包的数据段中搜索模式清单

offset:设置开始搜索的偏移量

depth:设置搜索更大深度

nocase:大小写不敏感匹配内容字符串

session:剥离一个对话的应用层信息

rpc:观察RPC服务对特定应用程序的调用

resp:激活反应措施(断开连接等)

react:激活反应措施(阻塞WEB站点)

3.1 msg

msg规则选项告诉日志引擎在复制包时同时打印的信息,以及让报警引擎输出的警告消息。它只是一个简单的文本字符串,使用作为转义符。

格式:

msg:"";

3.2 logto

logto选项告诉snort把触发某条规则所有的数据包都记录到指定的文件。使用这个选项,对处理来自nmap扫描、HTTP CGI扫描的数据非常方便。注意如果使用二进制日志模式,这个选项会失效。

格式:

logto:"文件名";

3.3 ttl

这个选项设置要测试的生命周期(time-to-live)值。只有数据包的TTL和这个选项设置的值精确匹配,测试才会成功。这个选项主要用来检测路由企图。

格式:

ttl:"";

3.4 tos

你可以使用tos关键词检查IP包头的TOS(type of service)域是否是一个特定的值。也是只有在被检测包TOS域的值和给定的值精确匹配时,这个测试才会成功。

格式:

tos:"";

3.5 ID

这个选项关键词用来测试IP分片包头的ID域。一些黑客工具为了不同的目的把这个域设置为特殊的值,例如:31337是在一些黑客中比较流行的值。使用这个选项就可以阻止这种攻击。

格式:

id: "";

3.6 lpoption

如果IP包中有选项域,可以使用这个规则选项搜索IP包头的特定选项,例如源路由。这个规则选项可以使用的参数如下:

rr:路由记录

eof:End of list

nop:无操作

ts:时间戳

sec:IP安全选项

lsrr:宽松源路由(loose source routing)

ssrr:严格源路由(strict source roution)

satid:流标识符

最常被注意的IP选项是loosestrict source routing,不过在Internet上广泛使用的任何应用程序中都没使用这两个选项。每条规则中只能设定一个IP规则。

格式:

ipopts: ;

3.7 fragbits

使用这个规则选项可以观察IP包头的分片位和保留位。它们在IP包头的标识域,共有3位,分别是:保留为(reserved bit,RB)、还有分组片位(more fragments,MF)、不可分片(dont fragment,DF)。这些位可以以各种方式组合检查,使用下面的值指定:

R:保留位

D:DF位

M:MF位

你也可以使用修饰符号对特定的位进行逻辑组合:

+--ALL标志,指定的位加上任何其它的位为真

*--ANY标志,指定的任何位为真

!--NOT标志,指定的位不为真

格式:

fragbits: ;

例子:

alert tcp !$HOME_NET any - $HOME_NET any (fragbits:R+;msg:"Reserverd IP bit set!";)

入侵检测系统security onion

配置和部署略,网上有很多重复的文章。网上关于security onion部署的文章非常多。但是介绍怎么使用的却很少。

security onion是什么,可以用来做什么?

security onion是一个封装了很多有关于IDS软件的一个基于ubuntu的操作系统,里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)

security onion对硬件的要求?

snort:200~300Mbps时开始丢包,500mbps时无法工作(不推荐使用该引擎)

suricata:能承受的流量比snort高,结合pfring可以承受很高的流量。

在一个流量达到700mbps以上吞吐的线路环境,需要一台1.5w元以上配置的服务器(2017年),配置的要点是需要有性能十分强劲的CPU(E5或者以上),内存32G以上、独立万兆网卡(建议)。

security onion部署要点?

一般情况下,security onion的功能有很多。但是只开一两个功能就可以了。例如suricata+squert。snorby不建议开启(显示不实时,而且体验很差)。同时开多个功能会非常消耗性能。部署的地点是首先要明确你要保护什么,想要获得什么情报。推荐的部署地点是出口线路、机密服务器到普通 *** 之间的线路。

一般部署步骤:上线运行一段时间,把排名前几位的确认无用的SID写进disablesid.conf里面剔除掉(噪声过滤),让后再根据业务需求写自定义规则。

如果站点使用的是HTTPS方式对外发布服务,为了IDS的工作更加有效。可以部署在明文的传输段,也就是避开部署在HTTPS服务器前面。部署推荐如下:client--NGINX----(此处的流量被镜像到security onion)----应用服务器

#此处的NGINX负责进行SSL加密。当然,nginx也可以是apche、F5等。流量镜像到IDS的 *** 是用交换机的镜像端口功能,如下(以华为的设备为例),

接sniffer的端口配置:observe-port 1 int ethernet0/0/1

被镜像的端口:

int ethernet0/0/15

 port-mirroring to observe-port 1 inbound

seucrity的配置核心-规则(重要的工作)

suricata可以使用ET和GPL等检测规则。但是后期需要信息安全工程师进行持续优化以及自定义。规则可以简单分为官方规则和自定义规则。官方规则是由一些专业的安全人员写出来的。一般如果不是对安全原理研究得特别深的情况下,不用去动他。自定义规则可以在官方规则基础上根据自己的需要进行修改。

自定义规则可以这样写(自然语言描述):

在非工作时间有非自动系统账号登录LVS就产生告警。

针对某服务器(没有修复)检测到heart beat特征就告警。

IDC的服务器不是通过堡垒机登录的就告警。

通过security onion发现攻击(重要的工作)

举例,如果出口线路被扫描的话,上squert会有如下发现:

发现攻击后应该做什么?

场景1(对外服务 *** ):可以使用防火墙阻挡已知的攻击、用交换机/路由器的ACL阻挡攻击者IP、推进漏洞修复的工作、改进安全对策等。

场景2(办公内网):可以知道内网PC是否中毒;内网是否有人企图要发起攻击;是否有僵尸PC;

综上所述。入侵检测系统security onion的主要工作在于如何优化检测规则和告警,以及提升自身发现攻击的能力。提升发现攻击能力的前提是学会攻击。

security onion部署总结:

有很多人发现吧security onion部署上去后发现好像没什么卵用。其实不然,它就像一把锤子,用成什么效果完全取决于安全人员的水平。security onion的部署关键在于“围绕场景而定制”。

        如果你部署办公网的出口,每天估计会产生10万个以上的告警。细看告警,你会发现很多告警是很无稽的。例如http发现有明文密码、翻墙、发现有机器跑着过期的flash版本......超级多。但问题是,这些告警都很无聊吗?不是的。这些告警都是通用的告警。因为用http来传送明文密码的确是非常不安全,过期的flash版本也会导致很大的被入侵的风险。只是别人没有搞你而已。然后这些告警都是通用的告警。我们是不需要的。这时候我们要根据办公网的出口场景来定制各种各样的场景,把不用的特征关闭。上一些自己关注的特征,例如僵尸主机特征等等。

        如果你部署在一台对内服务的WEB服务器的前面。发现有注入的告警。那么这时候就你要注意你的内网已经被入侵了(不用怀疑),或者是主机被外部人员入侵,又或者是来自员工的入侵。

        综上所述。你要知道你要保护什么资产,然后决定怎么去部署security onion,部署的过程根据场景需求来定制规则。去掉噪声,然后你会发现security onion会是一个办公、生产、学习的 *** 安全利器!

引发告警的特征:

UNION

XSS

访问MYSQL的information_schema

引发告警的特征:

此时注入已经成功,可以获得列的信息。

如何在Ubuntu上安装Snort入侵检测系统

Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行。Ubuntu作为一个以桌面应用为主的Linux操作系统,同样也可以安装Snort。

安装Snort过程

[安装LAMP,Snort和一些软件库]

由于 Ubuntu 是 Debian 系的 Linux,安装软件非常简单,而且 Ubuntu 在中国科技大学有镜像,在教育网和科技网 *** 非常快(2~6M/s),就省掉了出国下载安装包的麻烦,只需要一个命令即可在几十秒钟内安装好所有软件。这里使用 Ubuntu 默认命令行软件包管理器 apt 来进行安装。

$ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default

需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面,临时设置其为“test”。

[在 MySQL 数据库中为 Snort 建立数据库]

Ubuntu 软件仓库中有一个默认的软件包 snort-mysql 提供辅助功能,用软件包管理器下载安装这个软件包。

$ sudo apt-get install snort-mysql

安装好之后查看帮助文档:

$ less /usr/share/doc/snort-mysql/README-database.Debian

根据帮助文档中的指令,在 MySQL 中建立 Snort 的数据库用户和数据库。所使用的命令如下:

$ mysql –u root –p

在提示符处输入上面设置的口令 test

mysql CREATE DATABASE snort;

mysql grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;

mysql grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;

mysql SET PASSWORD FOR snort@localhost=PASSWORD('snort-db');

mysql exit

以上命令的功能是在 MySQL 数据库中建立一个 snort 数据库,并建立一个 snort 用户来管理这个数据库,设置 snort 用户的口令为 snort-db。

然后根据 README-database.Debian 中的指示建立 snort 数据库的结构。

$ cd /usr/share/doc/snort-mysql

$ zcat create_mysql.gz | mysql -u snort -D snort -psnort-db

这样就为 snort 在 MySQL 中建立了数据库的结构,其中包括各个 snort 需要使用的表。

[设置 snort 把 log 文件输出到 MySQL 数据库中]

修改 Snort 的配置文件:/etc/snort/snort.conf

$ sudo vim /etc/snort/snort.conf

在配置文件中将 HOME_NET 有关项注释掉,然后将 HOME_NET 设置为本机 IP 所在 *** ,将 EXTERNAL_NET 相关项注释掉,设置其为非本机 *** ,如下所示:

#var HOME_NET any

var HOME_NET 192.168.0.0/16

#var EXTERNAL_NET any

var EXTERNAL_NET !$HOME_NET

将 output database 相关项注释掉,将日志输出设置到 MySQL 数据库中,如下所示:

output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost

#output database: log, mysql

这样,snort 就不再向 /var/log/snort 目录下的文件写记录了,转而将记录存放在 MySQL 的snort数据库中。这时候可以测试一下 Snort 工作是否正常:

$ sudo snort -c /etc/snort/snort.conf

如果出现一个用 ASCII 字符画出的小猪,那么 Snort 工作就正常了,可以使用 Ctrl-C 退出;如果 Snort 异常退出,就需要查明以上配置的正确性了。

[测试 Web 服务器 Apache 和 PHP 是否工作正常]

配置 apache 的 php 模块,添加 msql 和 gd 的扩展。

$ sudo vim /etc/php5/apache2/php.ini

extension=msql.so

extension=gd.so

重新启动 apache

$ /etc/init.d/apache2 restart

在/var/www/目录下新建一个文本文件test.php

$ sudo vim /var/www/test.php

输入内容:

?php

phpinfo();

?

然后在浏览器中输入 ,如果配置正确的话,就会出现 PHP INFO 的经典界面,就标志着 LAMP 工作正常。

[安装和配置 acid-base]

安装 acid-base 很简单,使用 Ubuntu 软件包管理器下载安装即可:

$ sudo apt-get install acidbase

安装过程中需要输入 acidbase 选择使用的数据库,这里选 MySQL,根用户口令 test,和 acid-base 的口令(貌似也可以跳过不设置)。

将acidbase从安装目录中拷贝到www目录中,也可以直接在apache中建立一个虚拟目录指向安装目录,这里拷贝过来主要是为了安全性考虑。

sudo cp –R /usr/share/acidbase/ /var/www/

因为 acidbase 目录下的 base_conf.php 原本是一个符号链接指向 /etc/acidbase/ 下的base_conf.php,为了保证权限可控制,我们要删除这个链接并新建 base_conf.php 文件。

$ rm base_conf.php

$ touch base_conf.php

暂时将 /var/www/acidbase/ 目录权限改为所有人可写,主要是为了配置 acidbase 所用。

$ sudo chmod 757 acidbase/

现在就可以开始配置 acid-base 了,在浏览器地址栏中输入 ,就会转入安装界面,然后就点击 continue 一步步地进行安装:

选择语言为 english,adodb 的路径为:/usr/share/php/adodb;选择数据库为 MySQL,数据库名为 snort,数据库主机为 localhost,数据库用户名为 snort 的口令为 snort-db;设置 acidbase 系统管理员用户名和口令,设置系统管理员用户名为 admin,口令为 test。然后一路继续下去,就能安装完成了。

安装完成后就可以进入登录界面,输入用户名和口令,进入 acidbase 系统。

这里需要将 acidbase 目录的权限改回去以确保安全性,然后在后台启动 snort,就表明 snort 入侵检测系统的安装完成并正常启动了:

$ sudo chmod 775 acidbase/

$ sudo snort -c /etc/snort/snort.conf -i eth0 –D

[检查入侵检测系统工作状况,更改入侵检测规则]

正常情况下在一个不安全的 *** 中,登录 acidbase 后一会儿就能发现 *** 攻击。如果没有发现 *** 攻击,可以添加更严格的规则使得正常的 *** 连接也可能被报攻击,以测试 Snort IDS 的工作正确性,比如在 /etc/snort/rules/web-misc.rules 的最后添加下面的话:

$ sudo vi /etc/snort/rules/web-misc.rules

alert tcp any :1024 - $HTTP_SERVER 500:

这一行的意思是:对从任何地址小于 1024 端口向本机 500 以上端口发送的 tcp 数据包都报警。杀死 Snort 的后台进程并重新启动,就应该能检测到正常的包也被当作攻击了。

$ sudo kill `pgrep snort`

$ sudo snort –c /etc/snort/snort.conf –i eth0 -D

总结

使用Ubuntu安装Snort入侵检测系统和网页控制台是相当容易的,因为 Ubuntu 提供了很方便的软件包安装功能,只是有时候定制性能太差,需要用户手动去寻找软件包的安装位置。

  • 评论列表
  •  
    发布于 2022-10-29 04:54:07  回复
  • 模式下,Snort将在现有的网域内撷取封包,并显示在荧幕上。封包纪录模式(packet logger mode):此模式下,Snort将已撷取的封包存入储存媒体中(如硬碟)。上线模式(inl
  •  
    发布于 2022-10-29 04:26:56  回复
  • 含报警信息和异常包的信息(特征码,signature),使用这些特征码来决定是否采取规则规定的行动。 这是一个例子:alert tcp any any - 192.168.1.0/24 111(content:"|00 01 86 a5|";m
  •  
    发布于 2022-10-28 19:33:45  回复
  • 确你要保护什么,想要获得什么情报。推荐的部署地点是出口线路、机密服务器到普通网络之间的线路。 一般部署步骤:上线运行一段时间,把排名前几位的确认无用的SID写进disablesid.conf里
  •  
    发布于 2022-10-29 03:36:06  回复
  • 域,共有3位,分别是:保留为(reserved bit,RB)、还有分组片位(more fragments,MF)、不可分片(dont fragment,DF)。这些位可以以各种方式

发表评论: