基于Snort的入侵檢測系統(tǒng)

phiazat

4.1.1HTTP解碼\r\nSnort可以對HTTP協(xié)議各種形式的編碼進行解碼，并從中找出已知的攻擊特征。你可以將HTTP服務(wù)器的端口列表作為HTTP解碼預處理器的參數(shù)。例如下面的命令可以對在80，8080和443端口的HTTP相關(guān)數(shù)據(jù)包進行解碼，以便探測引擎處理：\r\npreprocessor http_decode: 80 8080 443\r\n尤其重要的是，如我們前面所提到的，關(guān)于HTTP的攻擊也常用各種變換形式，如果應用HTTP解碼預處理器，就可以更有效的探測到這些企圖。\r\n\r\n4.1.2端口掃描\r\n端口掃描是用來發(fā)現(xiàn)網(wǎng)絡(luò)上主機開放的端口的方法。任何入侵者的第一個行動通常都是找出網(wǎng)絡(luò)上在運行一些什么樣的服務(wù)。一旦入侵者找到了這樣的信息，就可以嘗試針對相關(guān)服務(wù)弱點的攻擊了。端口掃描預處理器的作用是監(jiān)測端口掃描的活動，這種預處理器可以將端口掃描行為記錄到指定的位置或者標準的日志。黑客們使用很多種掃描方式，你也可以查看nmap的文檔來獲得更多的信息。\r\n下面是在snort.conf中應用端口掃描預處理器的大體格式：\r\npreprocessor portscan: <address> <ports> <time period> <file>\r\n這個預處理器有4個相關(guān)的參數(shù)\r\n所監(jiān)控的地址范圍，采用CIDR規(guī)格。\r\n在一個時間段內(nèi)訪問的端口數(shù)目，例如這個參數(shù)取5表示在一個時間段內(nèi)，如果超過5個端口被掃描，則產(chǎn)生告警。\r\n時間段，用來配合上個參數(shù)的門限時間范圍，用秒表示。\r\n記錄日志的文件路徑。

phiazat

下面是個配置實例，用來監(jiān)測針對網(wǎng)絡(luò)192.168.1.0/24的端口掃描，并將日志記錄到/var/log/snort/portscan.log文件中。\r\npreprocessor portscan: 192.168.1.0/24 5 10 \\\r\n/var/log/snort/portscan.log\r\n\r\n端口掃描活動是針對TCP和UDP端口的。端口掃描預處理器可以監(jiān)測正常端口和隱秘端口的掃描。針對隱秘端口的掃描，可以查看nmap的相關(guān)文檔或網(wǎng)站。端口掃描的主要方法如下：\r\n\r\nTCP端口連接掃描。這種方式試圖對某個端口進行標準的TCP連接，如果連接建立，則表示這個端口是打開的。\r\n\r\nSYN掃描。入侵者發(fā)送一個帶有SYN標志的TCP包到某個端口，如果收到了帶有SYN和ACK標志的回應，那么這個端口是打開的，如果收到了帶有RST標志的包，這個端口就是關(guān)閉的。\r\n\r\nNULL端口掃描，F(xiàn)IN端口掃描，XMAS端口掃描，這是幾個比較類似的掃描方式。入侵者發(fā)送一個TCP包出去，如果收到帶有RST標志的包，表示端口是關(guān)閉的，如果什么包也沒有收到，就有端口打開的可能性。\r\n\r\n還有一種預處理器，可以和這種預處理器一同工作，它叫做端口掃描忽略預處理器，用來忽略針對某些主機的掃描行為，用法如下例所示：\r\n\r\npreprocessor portscan-ignorehosts: 192.168.1.10/32 \\\r\n192.168.1.13/32

phiazat

4.1.3 frag2模塊\r\n這個預處理器用來組裝包的分片，老版本的Snort用defrag。\r\n應用frag2的時候，你可以配置組裝分片的超時和內(nèi)存上限。默認情況下是4M的內(nèi)存和60秒的超時界限。如果在這個時間段內(nèi)沒有完成，就把包丟棄。下面的命令用默認參數(shù)打開frag2：\r\npreprocessor frag2\r\n下面的命令將frag2配置為2M的內(nèi)存上限和30秒的超時。\r\n在一個高速的網(wǎng)絡(luò)中，你應該用更多的內(nèi)存上限。\r\n\r\n4.1.4 stream4模塊\r\n\r\n這個模塊用來代替老版本的Stream模塊，它有兩個基本功能：\r\nTcp數(shù)據(jù)流的組裝\r\n狀態(tài)監(jiān)測\r\n\r\n為了使Stream4正常工作，你必須在snort.conf中配置兩個預處理器，分別是“stream4”和“stream4_reassemble.”它們都有很多的參數(shù)，如果你不配置這些參數(shù)，系統(tǒng)就會采用默認值。Stream4預處理器的大體格式如下：\r\npreprocessor stream4: [noinspect], [keepstats], \\\r\n[timeout <seconds>], [memcap <bytes>], [detect_scan], \\\r\n[detect_state]

phiazat

下面是關(guān)于各個參數(shù)的描述和默認值\r\n \r\n參數(shù)        表述        默認值           \r\nNoinspect        關(guān)閉狀態(tài)監(jiān)測        ACTIVE           \r\nKeepstats        將會話概要記錄到session.log文件中        INACTIVE           \r\nTimeout        保持一個活動會話的超時        30秒           \r\nMemcap        這個模塊利用的最大內(nèi)存        8MB           \r\nDetect_scan        監(jiān)測端口掃描活動        INACTIVE           \r\nDetect_state_problems        監(jiān)測TCP流相關(guān)的各種問題        INACTIVE         \r\n\r\n\r\n下面是stream4_reassemble預處理器的主要格式：\r\npreprocessor stream4_reassemble: [clientonly],\r\n[serveronly],[noalerts],[ports<portlist>]\r\n下面是這個預處理器的主要參數(shù)的描述\r\n \r\n參數(shù)        表述           \r\nClientonly        僅僅組裝客戶端的數(shù)據(jù)流           \r\nSeveronly        僅僅組裝服務(wù)器端的數(shù)據(jù)流           \r\nNoalerts        在遇到逃避和嵌入式攻擊時不告警           \r\nPorts        組裝關(guān)于特定端口的數(shù)據(jù)流的端口列表，用空格分隔，all表示端口21，23，25，53，80，110，111，143和513。指定少數(shù)的端口可以節(jié)省CPU時間。

phiazat

4.1.5 spade模塊\r\nSPADE是統(tǒng)計包異常探測引擎的縮寫，你可以在http://www.silicondefense.com/so ... 拗道幢ǜ嬉斐Ｇ榭觥?/a>\r\n要記住SPADE對系統(tǒng)的要求比較高，尤其是在高負荷的網(wǎng)絡(luò)上，因此要小心使用。\r\n4.1.6 ARP欺騙\r\nARP用來獲得某個IP地址相關(guān)的MAC地址。\r\nARP協(xié)議也被很多人用來攻擊，探測和欺騙。ARP欺騙可以將到某個主機的通信重定向到別的地方。\r\nArpspoof預處理器用來探測ARP包中的異常，它可以做以下的事情：\r\n對于所有的ARP請求，如果源MAC地址與發(fā)送者的MAC地址不同，就產(chǎn)生告警。\r\n對于APR回應包，如果源MAC地址與發(fā)送者的MAC地址不同，或目的MAC地址與接收者的MAC地址不同，就會產(chǎn)生告警。\r\n對于單播ARP請求，若目的MAC不是廣播地址(FF:FF:FF:FF:FF:FF)，就產(chǎn)生告警。為了實現(xiàn)這個功能，你需要在snort.conf中加入這樣一行：as “preprocessor arpspoof: -unicast”。\r\n你可以在Snort內(nèi)部緩存中預先存放MAC-IP映射對，如果遇到不匹配，系統(tǒng)就會產(chǎn)生告警。\r\n下面的一行添加一個IP-MAC對，可以用來探測ARP欺騙的企圖。\r\npreprocessor arpspoof_detect_host: 192.168.1.13 \\\r\n34:45:fd:3e:a2:01

phiazat

4.2輸出模塊\r\n\r\n輸出模塊用來控制Snort探測引擎的輸出，你可以將輸出的信息送到各種目標。比如：\r\n數(shù)據(jù)庫\r\nSMB彈出窗口\r\n系統(tǒng)日志\r\nXML或者CSV文件。\r\n\r\n在snort.conf中配置輸出模塊的命令大體如下所示：\r\noutput <module_name>[: arguments]\r\n比如你希望將信息記錄到名為snort的MySQL數(shù)據(jù)庫，可以采用如下的配置：\r\noutput database: log, mysql, user=rr password=rr \\\r\ndbname=snort host=localhost\r\n一旦你在配置輸出模塊加入上面著一行，所有的告警都送到MySQL數(shù)據(jù)庫中，在日志文件中就不會出現(xiàn)了，也有一些方法可以將告警送到不同的目標。\r\n\r\n下面的例子是將SMB彈出窗口送到workstation.list文件中列舉的主機上：\r\noutput alert_smb: workstation.list\r\n有時候你可能需要將告警發(fā)到多種目標，那么用ruletype關(guān)鍵字自定義動作時一個好主意。例如，下面豫劇定義了一個動作，將告警同時發(fā)送到數(shù)據(jù)庫和SMB彈出窗口。\r\nruletype smb_db_alert\r\n{\r\ntype alert\r\noutput alert_smb: workstation.list\r\noutput database: log, mysql, user=rr password=rr \\\r\ndbname=snort host=localhost\r\n}\r\n下面的規(guī)則應用了上面的自定義動作。

phiazat

smb_db_alert icmp any any -> 192.168.1.0/24 any \\\r\n(fragbits: D; msg: \"Dont Fragment bit set\"\r\n\r\n4.2.1 alert_syslog輸出模塊\r\n幾乎所有的UNIX系統(tǒng)中都有系統(tǒng)日志守護進程syslog,它的配置文件是/etc/syslog.conf。你可以查看syslogd和syslog.conf的手冊來獲得更多信息。\r\nAlert_syslog模塊使你能夠?qū)⒏婢�發(fā)送到系統(tǒng)日志鐘。如果你需要的話，系統(tǒng)日志守護進程也可以將告警發(fā)送到其他的主機。下面是這個模塊的配置格式：\r\noutput alert_syslog: <facility> <priority> <options>\r\n其中，facility可以取得值包括：

phiazat

• LOG_AUTH\r\n• LOG_AUTHPRIV\r\n• LOG_DAEMON\r\n• LOG_LOCAL0\r\n• LOG_LOCAL1\r\n• LOG_LOCAL2\r\n• LOG_LOCAL3\r\n• LOG_LOCAL4\r\n• LOG_LOCAL5\r\n• LOG_LOCAL6\r\n• LOG_LOCAL7\r\n• LOG_USER\r\npriority的取值包括：\r\n• LOG_EMERG\r\n• LOG_ALERT\r\n• LOG_CRIT\r\n• LOG_ERR\r\n• LOG_WARNING\r\n• LOG_NOTICE\r\n• LOG_INFO\r\n• LOG_DEBUG\r\n這里LOG_EMERG是最高優(yōu)先級的，而LOG_DEBUG是最低優(yōu)先級的。\r\nOptions的取值可以是：\r\n• LOG_CONS\r\n• LOG_NDELAY\r\n• LOG_PERROR\r\n• LOG_PID\r\n4.2.2 alert_full輸出模塊\r\n這個模塊用來想文件記錄詳盡的告警信息。下面的配置讓系統(tǒng)把日志記錄到Snort日志目錄的alert_detailed文件中：\r\noutput alert_full: alert_detailed\r\n盡管這個模塊可以使你得到詳細的信息，但是也會導致系統(tǒng)資源的大量消耗，在一個高負載的網(wǎng)絡(luò)環(huán)境中，可能導致系統(tǒng)來不及響應而使探測引擎忽略一些數(shù)據(jù)包。\r\n4.2.3 alert_fast輸出模塊\r\n如前面所提到的，記錄詳細的信息可能導致系統(tǒng)資源的過度消耗，因此Snort提供快速記錄簡要信息的輸出模塊，每個信息只有一行，這個模塊的配置如下所示：\r\noutput alert_fast: alert_quick\r\n4.2.4 alert_smb模塊\r\n這個模塊用linux的SAMBA客戶端smbclient程序向Windows工作站發(fā)送SMB告警，使用之前確定smbclient程序的路程在PATH環(huán)境變量中。\r\n下面是一個示例：\r\noutput alert_smb: workstation.list\r\n每個工作站的SMB名稱都要分行列在workstation.list文件中。SMB名稱就是Windows機器的計算機名稱�？蛻舳顺绦驎�自己解析這個名稱。

phiazat

4.2.5 log_tcpdump模塊\r\n這個模塊用來將告警數(shù)據(jù)存放為tcpdump格式，這種方法便于高負荷網(wǎng)絡(luò)中提高分析數(shù)據(jù)的速度。下面是配置格式：\r\noutput log_tcpdump: <filename>\r\n下面是一個示例：\r\noutput log_tcpdump: /var/log/snort/snort_tcpdump.log\r\n4.2.6 XML輸出模塊\r\nSnort可以用SNML（Simple Network Modeling Language）來輸出告警以便基于XML的解釋器或瀏覽器閱讀。\r\n通過這個插件，你可以將XML數(shù)據(jù)存放在本地機器上或者通過HTTP及HTTP協(xié)議傳送到Web服務(wù)器上。\r\nXML輸出模塊的基本用法如下：\r\noutput xml: [log | alert], [parameter list]\r\n你可以選擇用XML記錄告警或者日志，其他的參數(shù)如下表所示：\r\n \r\n參數(shù)        描述           \r\nFile        將數(shù)據(jù)儲存到XML文件中           \r\nProtocol        將信息記錄到其他機器上用的協(xié)議如HTTP，HTTPS。           \r\nHost        記錄信息的遠程主機           \r\nPort        記錄信息的遠程主機的端口           \r\nCert        Https用到的證書           \r\nKey        客戶端私鑰           \r\nCa        認證證書的服務(wù)器           \r\nServer        X.509證書的CN

phiazat

4.2.6.1例子\r\n將日志記錄到本地主機上的文件“xmlout”：\r\noutput xml: log, file=xmlout\r\n文件名字會添加時間和日期作為后綴，這樣的目的是為多個Snort進程服務(wù)。\r\n\r\n將日志記錄用HTTP協(xié)議到snort.conformix.com的xmlout文件上：\r\noutput xml: alert, protocol=http \\\r\nhost=snort.conformix.com file=xmlout\r\n將日志記錄用HTTPS協(xié)議到snort.conformix.com的xmlout文件上：\r\noutput xml: alert, protocol=https \\\r\nhost=snort.conformix.com file=xmlout cert=conformix.crt \\\r\nkey=conformix.pem ca=ca.crt server=Conformix_server\r\n將日志記錄到監(jiān)聽5555端口的TCP服務(wù)器snort.conformix.com上：\r\noutput xml: alert, protocol=tcp \\\r\nhost=snort.conformix.com port=5555\r\n典型的輸出XML文件如下：\r\n<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<!DOCTYPE snort-message-version-0.2>\r\n<file>\r\n<event version=\"1.0\">\r\n<sensor encoding=\"hex\" detail=\"full\">\r\n<interface>eth0</interface>\r\n<ipaddr version=\"4\">192.168.1.2</ipaddr>\r\n<hostname>conformix.conformix.net</hostname>\r\n</sensor>\r\n<signature>ICMP Packet with TTL=100</signature>\r\n<timestamp>2002-07-23 17:48:31-04</timestamp>\r\n<packet>\r\n<iphdr saddr=\"192.168.1.100\" daddr=\"192.168.1.2\" proto=\"1\" ver=\"4\"\r\nhlen=\"5\" len=\"60\" id=\"37123\" ttl=\"100\" csum=\"519\">\r\n<icmphdr type=\"8\" code=\"0\" csum=\"23612\">\r\n<data>6162636465666768696A6B6C6D6E6F7071727374757677616263646566676869</data>\r\n</icmphdr>\r\n</iphdr>\r\n</packet>\r\n</event>\r\n</file>