snort on debian 學(xué)習(xí)資料之一

sunhuang

                                snort on debian 學(xué)習(xí)資料之一
         
         
來源： 作者：Yen-Ming Chen(編譯：nixe0n)
簡介
1.什么是入侵檢測
2.什么是snort
3.什么是日志分析
4.snort的日志格式
　4.1.基于文本的格式
   4.2.tcpdump格式
   4.3.數(shù)據(jù)庫
5.工具
   5.1.管理基于文本日志的工具
   5.2.基于tcpdump日志文件的分析工具
   5.3.數(shù)據(jù)庫分析工具
總結(jié)
參考
　
     簡介
snort是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)，它可以記錄所有可能的入侵企圖。記錄信息的文件可以是文本、XML、libpcap格式，也可以把把信
息記錄到syslog或者數(shù)據(jù)庫。本文將介紹一些用于snort日志管理的工具。不過，本文無法囊括所有的分析工具。因?yàn)閟nort作為一個(gè)自由、健壯的
入侵檢測系統(tǒng)，受到很多人的關(guān)注，因此針對(duì)它開發(fā)的工具層出不窮。
本文將介紹的工具主要針對(duì)三種輸出格式：文本、libpcap(也就是tcpdump格式)和數(shù)據(jù)庫。我們將主要介紹這些工具的安裝和功能。
　
     1.什么是入侵檢測
入侵檢測就是一個(gè)監(jiān)視計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)上發(fā)生的事件，然后對(duì)其進(jìn)行安全分析的過程。大多數(shù)的入侵檢測系統(tǒng)都可以被歸入到基于網(wǎng)絡(luò)、基于主機(jī)以及分
布式三類�；�于網(wǎng)絡(luò)的入侵檢測系統(tǒng)能夠監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)發(fā)現(xiàn)入侵或者攻擊的蛛絲馬跡；基于主機(jī)的入侵檢測系統(tǒng)能夠監(jiān)視針對(duì)主機(jī)的活動(dòng)(用戶的命令、登錄/退出
過程，使用的數(shù)據(jù)等等)，以此來判斷入侵企圖；分布式IDS通過分布于各個(gè)節(jié)點(diǎn)的傳感器或者代理對(duì)整個(gè)網(wǎng)絡(luò)和主機(jī)環(huán)境進(jìn)行監(jiān)視，中心監(jiān)視平臺(tái)收集來自各個(gè)
節(jié)點(diǎn)的信息監(jiān)視這個(gè)網(wǎng)絡(luò)流動(dòng)的數(shù)據(jù)和入侵企圖。
各種入侵檢測系統(tǒng)使用的檢測方法可以分為兩類：基于特征碼的檢測方法和異常檢測。使用基于特征碼檢測方法的系統(tǒng)從網(wǎng)絡(luò)獲得數(shù)據(jù)，然后從中發(fā)現(xiàn)以知的攻擊特征。例如：在某些URL中包含一些奇怪的Unicode編碼字符就是針對(duì)IIS
Unicode缺陷的攻擊特征。此外各種模式匹配技術(shù)的應(yīng)用，提高了這種檢測方法的精確性。使用異常檢測的系統(tǒng)能夠把獲得的數(shù)據(jù)與一個(gè)基準(zhǔn)進(jìn)行比較，檢測
這些數(shù)據(jù)是否異常。例如：如果一個(gè)雇員的工作時(shí)間是上9點(diǎn)到下午5點(diǎn)，但是在某個(gè)晚上他的計(jì)算機(jī)記錄了他曾經(jīng)在半夜登錄了公司的郵件服務(wù)器，這就是一個(gè)異
常事件，需要深入調(diào)查�，F(xiàn)在，大量的統(tǒng)計(jì)學(xué)方法用于這個(gè)領(lǐng)域。
　
     2.什么是snort
snort是一個(gè)基于libpcap的輕量級(jí)網(wǎng)絡(luò)入侵檢測系統(tǒng)。它運(yùn)行在一個(gè)“傳感器(sensor)”主機(jī)上，監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)。這臺(tái)機(jī)器可能是一臺(tái)簡陋的運(yùn)行FreeBSD系統(tǒng)的Pentium100
PC，并且至少有一個(gè)網(wǎng)卡。不過建議使用最好的機(jī)器作為進(jìn)行入侵檢測的主機(jī)。snort能夠把網(wǎng)絡(luò)數(shù)據(jù)和規(guī)則集進(jìn)行模式匹配，從而檢測可能的入侵企圖；或者使用SPADE插件，使用統(tǒng)計(jì)學(xué)方法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常檢測。
snort使用一種易于擴(kuò)展的模塊化體系結(jié)構(gòu)，感興趣的開發(fā)人員可以加入自己編寫的模塊來擴(kuò)展snort的功能。這些模塊包括：HTTP解碼插件、TCP數(shù)據(jù)流重組插件、端口掃描檢測插件、FLEXRESP插件以及各種日志輸入插件等。
snort還是一個(gè)自由、簡潔、快速、易于擴(kuò)展的入侵檢測系統(tǒng)，已經(jīng)被移植到了各種UNIX平臺(tái)和WinY2K上。同時(shí)，它也是目前安全領(lǐng)域中，最活躍的開放源碼工程之一。snort還是昂貴的商業(yè)入侵檢測系統(tǒng)最好的替代產(chǎn)品之一。
　
     3.什么是日志分析
入侵檢測系統(tǒng)(例如：snort)安裝成功后，并不表示一切都萬事大吉了，你還有許多事情要做。snort啟動(dòng)后，它會(huì)在的硬盤上記錄大量的報(bào)警信
息。因此，你需要工具對(duì)日志或者報(bào)警文件進(jìn)行分析。不同你的需要和安全形勢，要求你使用不同的工具。你可能只要一個(gè)日志匯總，或者你的經(jīng)理要求你提供一個(gè)
最近15次攻擊的報(bào)告。還有，對(duì)于某個(gè)報(bào)警你可能需要獲取更多的信息，以便做進(jìn)一步的研究。不管是出于什么目的，日志分析可以幫助你從日志中獲取有用的信
息，使你可以針對(duì)攻擊威脅采取必要措施。
　
     4.snort的日志格式
你可以通過修改配置文件來設(shè)置snort的報(bào)警形式�；�于文本的格式、libpcap格式和數(shù)據(jù)庫是snort最重要的三種報(bào)警形式。本文中，我將主要對(duì)每種報(bào)警形式及其配置進(jìn)行介紹，然后我將針對(duì)這些數(shù)據(jù)格式介紹一些分析工具。
     4.1.基于文本的格式
     報(bào)警文件
     如果在啟動(dòng)snort時(shí)，你使用了-A
[fast|full|none]選項(xiàng)，snort就會(huì)把報(bào)警信息保存到一個(gè)文件中。例如：
[**] INFO - ICQ Access [**]
[Classification: content:"MKD / "] [Priority: 0]
05/10-10:02:31.953089 10.1.1.1.:54835 -> 10.2.2.5:80
TCP TTL:127 TOS:0x0 ID:13690 IpLen:20 DgmLen:482 DF
***AP*** Seq: 0x112BDD12 Ack: 0x11B38D8A Win: 0x4510
TcpLen: 20
其中，[Classification: content:"MKD / "] [Priority:
0]是報(bào)警的分類和優(yōu)先級(jí)，這是snort
1.8beta版開始加入的新特征。
     syslog文件
取消snort.conf文件中以下幾行的注釋，可以使snort向系統(tǒng)日志文件中日志數(shù)據(jù)：
output alert_syslog: LOG_AUTH LOG_ALERT
輸出格式如下：
May 10 00:03:38 xxxxxx snort: INFO - ICQ Access
[Classification:
content:"MKD / " Priority: 0]: 10.1.1.1:54352 ->
10.2.2.5:80
　
     CSV文件
Brian
Caswell為snort編寫了CSV輸出插件。通過這個(gè)插件，snort可以使用CSV格式記錄數(shù)據(jù)。它的配置非常容易，只要在snort.conf文件中加入以下的配置行：
output CSV: /your/filename
timestamp,msg,proto,src,dst
然后，這個(gè)輸出插件就會(huì)向/your/filenames文件輸出如下格式的信息：
05/10-10:02:31.953089, INFO - ICQ Access,
TCP,10.1.1.1,10.2.2.5
你可以使用默認(rèn)配置選項(xiàng)default，而勿需指定任何域。在配置文件中，你可以使用復(fù)合CSV輸出，建立多個(gè)輸出文件，在每個(gè)文件中記錄需要記錄的域。
     XML格式
snort的XML輸出插件是Jed Pickel和Roman
Danyliw開發(fā)的，是AIRCERT(Automated
Incident-Reporting)工程的一個(gè)組成部分。snort使用這個(gè)插件可以把日志數(shù)據(jù)或者報(bào)警信息以XML格式保存到本地文件和輸出到一個(gè)中心數(shù)據(jù)庫，或者發(fā)送到CERT進(jìn)行處理。這些數(shù)據(jù)使用SNML格式，SNML是簡單網(wǎng)絡(luò)標(biāo)記語言(Simple
Network Markup Language)或者snort標(biāo)記語言(SNort Markup
Language)的縮寫。你可以從http://www.cert.org/kb/snortxml獲得更為詳細(xì)的信息。
XML輸出插件支持HTTP、HTTPS和IAP(入侵報(bào)警協(xié)議，Intrusion
Alert
Protocol)協(xié)議。它的數(shù)據(jù)可以使用HEX、BASE64或者ASCII編碼。
下面是XML輸出插件的配置示例：
　
output xml: log, file=/var/log/snort/snortxml
這一配置行使snort把產(chǎn)生的日志信息輸出到以/var/log/snort/snortxml-MMDD@HHMM命名的文件中，其中MMDD是月、日，HHMM是時(shí)、分。
output xml: alert,protocol=https host=your.server.org
file=yourfile cert=mycert.crt key=mykey.pem ca=ca.crt
server=srv_list.lst
這一配置行使snort使用HTTPS協(xié)議把產(chǎn)生的輸出送到遠(yuǎn)程服務(wù)器your.server.org的文件yourfile。cert、key、ca與SSL有關(guān)。server參數(shù)可以設(shè)置連接的服務(wù)器列表。
下面是一個(gè)輸出示例：
fxp0
10.3.3.3
test.someserver.org
RPC portmap listing
2001-05-09 19:43:05+00
5A97E73C0000000000000002000186A00000000200000004000000000000000000000000
     4.2.tcpdump格式
     報(bào)文捕獲庫(libcap)是Lawrence Berkeley
National實(shí)驗(yàn)室的網(wǎng)絡(luò)研究小組開發(fā)的，應(yīng)用非常廣泛，許多的報(bào)文捕獲程序都是基于這個(gè)庫的，例如：tcpdump和snort。在snort.conf文件中加入下面的配置行，你就能夠把日志以tcpdump二進(jìn)制格式記錄到指定的文件中：
output log_tcpdump: snort_dump.log
然后，你可以使用snort或者tcpdump從這個(gè)文件中讀取信息。
     4.3.數(shù)據(jù)庫
     早在2000年3月Jed
Pickel就為snort編寫了數(shù)據(jù)庫輸出插件，這個(gè)插件支持MySQL、PostgreSQL、unixODBS和Oracle數(shù)據(jù)庫。
在snort.conf文件中加入：
output database: log, mysql, user=snortuser
password=snortpass dbname=snortdb host=localhost
就可以使snort把日志數(shù)據(jù)輸出到名為snortdb的MySQL數(shù)據(jù)庫中，這個(gè)數(shù)據(jù)庫位于本地主機(jī)，用戶名為snortuser，驗(yàn)證密碼是snortpass。針對(duì)不同的數(shù)據(jù)庫系統(tǒng)，mysql可以改為postgresql、unixodbc或者oracle。
在使用數(shù)據(jù)庫之前，需要做建立數(shù)據(jù)庫和用戶/密碼等準(zhǔn)備工作。還要為用戶這是適當(dāng)?shù)臋?quán)限，然后使用contrib目錄下的create_mysql、create_postgresql、create_oracle.sql建立數(shù)據(jù)庫的表。
　
     5.工具
在本節(jié)中，我將介紹一些用于snort日志分析的工具，這些工具也是按照上一節(jié)那樣分類。這里將主要講述它們的功能以及如何使用。
     5.1.管理基于文本日志的工具
     snort_stat
     是本文作者(Yen-Ming
Chen)與1999年寫的一個(gè)perl腳本，可以周期性地產(chǎn)生snort日志文件的統(tǒng)計(jì)結(jié)果。這個(gè)腳本可以產(chǎn)生如下信息：
　
     具有同樣特征碼的源/目的對(duì)的數(shù)量
     具有相同源/目的對(duì)的特征碼的數(shù)量
     具有相同源地址和特征碼的企圖的數(shù)量
     具有相同特征碼的目的地址的數(shù)量
     特征碼分布
     portscan和SPADE插件的日志
這個(gè)腳本能夠能夠周期性給系統(tǒng)管理者發(fā)送email或者把產(chǎn)生的信息保存為HTML格式的文件。在/etc/crontab文件中加入以下條目，就可以實(shí)現(xiàn)上述功能：
59 23 * * * root cat /your/snort/logfile
|/your/snort_stat.pl -r | sendmail someone@somewhere
這樣，snort_stat.pl腳本就能夠在每天晚上11:59解析/your/snort/logfile，然后把結(jié)果發(fā)給someone@somewhere。使用-h選項(xiàng)可以產(chǎn)生HTML輸出。這個(gè)腳本的下載地址在：

http://xanadu.incident.org/snort/
你還可以從下面地址得到一個(gè)HTML輸出的例子：

http://xanadu.incident.org/snort/example.html
這個(gè)腳本的最新版本是1.15。作者將針對(duì)snort1.8對(duì)其進(jìn)行改進(jìn)。
     SnortSnarf
這也是一個(gè)perl腳本，可以處理snort的日志文件然后產(chǎn)生HTML格式的輸出，幫助你分析snort日志，發(fā)現(xiàn)可能的攻擊威脅。SnortSnarf的輸出包括可以進(jìn)行WHOIS和DNS查詢的連接。你也能夠發(fā)現(xiàn)向特定IP地址的攻擊。
除了日志分析之外，SnortSnarf還有其它的功能。有一個(gè)nmap2html腳本能夠從日志文件中抽取nmap端口掃描的報(bào)警信息，將其保存為HTML頁面。最新的版本加入了SISR(SnortSnarf
Incident Storage and Reporting
mechanism)機(jī)制。使用這項(xiàng)功能你可以方便地建立和保存事件報(bào)告或者通過email發(fā)送事件報(bào)告。
你可以從以下地址下載SnortSnarf：
http://www.silicondefense.com/software/snortsnarf/index.htm
使用SnortSnarf需要Time::JulianDay模塊，這個(gè)Perl模塊包含在SnortSnarf壓縮包中。完成
SnortSnarf的安裝之后(具體的安裝步驟可以參考README文檔)，你需要為HTML格式機(jī)的輸出文件準(zhǔn)備一個(gè)目錄，接著運(yùn)行如下命令：
snortsnarf.pl -d /where/is/html/output
/var/log/messages /var/log/snort/alert
這個(gè)命令將使SnortSnarf解析/var/log/messages和/var/log/snort/alert文件，把產(chǎn)生的HTML格式
文件輸出到/where/is/html/output目錄。SnortSnarf還有其它的選項(xiàng)，用戶可以參考其README文檔了解這些選項(xiàng)的用法。
從以下地址可以得到一個(gè)SnortSnarf的輸出示例：
http://www.silicondefense.com/software/snortsnarf/example/index.html
　
     snort-sort
這個(gè)perl腳本的編者是Andrew R.
Baker，它能夠?yàn)閟nort報(bào)警進(jìn)行排序。從snort源代碼的contrib目錄下，你可以找到這個(gè)腳本。它能夠進(jìn)行反向DNS查詢，并且能夠?qū)γ總�(gè)IP地址進(jìn)行WHOIS查詢。目前這個(gè)腳本無法處理snort1.8版的報(bào)警(作者完成本文時(shí))。
只要使用以下命令就可以了：
snort-sort.pl /your/alert/file > result.html
然后，你就可以使用瀏覽器查看result.html。
     snort2html
是Daniel
Swan編寫的perl腳本，能夠把snort記錄到syslog文件中的報(bào)警信息抽取出來，轉(zhuǎn)換為HTML格式。從Max
Vision的ArchNIDS數(shù)據(jù)庫中，你可以獲得更多關(guān)于特征碼的信息。這個(gè)腳本不能進(jìn)行日志分析，同樣也不能處理snort1.8版的報(bào)警格式。
使用時(shí)，你需要改變$logfile和$outputfile兩個(gè)變量，然后在/etc/crontab文件中加入一個(gè)條目，周期性執(zhí)行這個(gè)腳本。snort2html沒有命令選項(xiàng)。
snortlog
這個(gè)perl腳本的作者Angelos
Karageorgiou，它的功能類似于snort-sort和snort2html。也是把snort報(bào)警文件轉(zhuǎn)換為HTML頁面。用法如下：
Snortlog.pl /var/log/snort/alert machinename
它目前也不能處理snort1.8版報(bào)警格式。下載地址在http://packetstorm.securify.com/sniffers/snort/snortlog.pl
     ARIS Extractor
     ARIS基于攻擊登記和智能服務(wù)(Attack Registry and
Intelligence
Service)。這是http://www.securityfocus.org推出的一項(xiàng)免費(fèi)安全服務(wù)，它能夠提供IDS和防火墻日志的廣泛關(guān)聯(lián)。ARIS
Extractor程序能夠從你的snort日志中提取信息，然后以XML格式送到SecurityFocus的ARIS數(shù)據(jù)庫做深入分析。要使用這項(xiàng)服
務(wù)，你首先要在http://www.securityfocus.org注冊，獲得一個(gè)用戶名和密碼。他們會(huì)對(duì)對(duì)數(shù)據(jù)進(jìn)行安全處理，以保護(hù)你的隱私，不
過為了進(jìn)行關(guān)聯(lián)處理不可避免地要泄露你的某些信息。通過這種方式，他們可以建立一個(gè)世界范圍的數(shù)據(jù)庫，在宏觀層進(jìn)行攻擊趨勢分析。你可以從http:
//aris.securityfocus.com/獲得更多細(xì)節(jié)。
     5.2.基于tcpdump日志文件的分析工具
目前還沒有專門用于snort的分析工具，不過，你可以使用tcpreplay和tcpshow等工具，查看日志信息。
     5.3.數(shù)據(jù)庫分析工具
     ACID
     ACID是入侵?jǐn)?shù)據(jù)庫分析控制臺(tái)(Analysis Console for
Intrusion Databases)的縮寫。編者Roman
Danyliw，是一個(gè)基于PHP的分析引擎。主頁：

http://www.cert.org/kb/acid/
ACID具有搜索、分組、維護(hù)和圖示數(shù)據(jù)庫的數(shù)據(jù)。這些數(shù)據(jù)既可以是snort的日志/報(bào)警，也可以是其它防火墻產(chǎn)品產(chǎn)生的信息，例如ipchains。它能夠現(xiàn)實(shí)各種統(tǒng)計(jì)數(shù)據(jù)，包括：
　
按照協(xié)議劃分報(bào)文
Unique alerts
最近/最頻繁的報(bào)警
最頻繁出現(xiàn)的地址
ACID也提供了一個(gè)IP地址的whois查詢連接。你可以使用它為數(shù)據(jù)分組和從數(shù)據(jù)庫刪除報(bào)警。如果想使用ACID你還需要ADODB、gd-1.8和PHPlot-4.4.6。ACID的簡要安裝過程如下：
　
安裝支持PHP的Web服務(wù)器
安裝ADODB、GD和PHPlot
安裝ACID
更為詳細(xì)的過程可以參考構(gòu)建基于snort的入侵檢測系統(tǒng)。
安裝完成后，你需要設(shè)置acid_config.php文件：
$DBlib_path = "/opt/ids/share/acidsupport/adodb"; /*
ADODB的安裝路徑 */
$DBtype = "postgres"; /* 數(shù)據(jù)庫類型 */
$alert_dbname = "snort"; /* 記錄snort日志信息的數(shù)據(jù)庫
*/
$alert_host = "localhost"; /* 數(shù)據(jù)庫所在的地址 */
$alert_port = "5432"; /* 數(shù)據(jù)庫服務(wù)器監(jiān)聽的端口 */
$alert_user = "snort"; /* 數(shù)據(jù)庫用戶 */
$alert_password = "123456"; /* 用戶的密碼 */
$ChartLib_path =
"/opt/ids/share/acidsupport/phplot/"; /*
PHPlot的安裝路徑 */
然后，你就可以通過瀏覽器執(zhí)行acid_main.php了。
　
     總結(jié)
顯然，現(xiàn)在還沒有一種非常成功的日志分析軟件。如果你要處理基于文本的日志信息，可以使用SnortSnarf獲得更多的信息以及對(duì)日志進(jìn)行搜索；如果你只需要周期性匯總事件的發(fā)生情況，使用snort_stat就可以了；而其它的工具則只能進(jìn)行格式轉(zhuǎn)換，沒有分析能力。
如果使用數(shù)據(jù)庫，ACID是當(dāng)前最好而且?guī)缀跏俏ㄒ坏倪x擇；還有其它一些perl腳本，可以用來維護(hù)你的snort數(shù)據(jù)庫；如果你希望獲得SecurityFocus的幫助可以使用ARIS
Extractor。
這些日志分析工具只能為你更好地跟蹤可能的入侵企圖或者實(shí)際的攻擊，然而更重要的是，你需要時(shí)刻保持警惕。
     參考
1. Rebecca G. Bace, "Intrusion Detection", MTP
Technology Series, 2000. (Return to text.)
2.snort主頁：http://www.snort.org
3.AIRCERT工程主頁：http://www.cert.org/kb/aircert/
4.Snortdb插件主頁：http://www.incident.org/snortdb/
5.SnortSnarf主頁：http://www.silicondefense.com/software/snortsnarf/
6.Snort_stat主頁：http://xanadu.incident.org/snort/
7.ARIS：http://aris.securityfocus.com/
8.ACID：http://www.cert.org/kb/acid/
               
               
               
               
               
               
               

本文來自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/29203/showart_244036.html