基于Snort的入侵檢測(cè)系統(tǒng)

phiazat

4.2.7記錄到數(shù)據(jù)庫(kù)\r\n\r\nSnort可以用數(shù)據(jù)庫(kù)來(lái)記錄日志和告警，你可以用Oracle或MySQL等多種類(lèi)型的數(shù)據(jù)庫(kù)，如下面的例子：\r\noutput database: log, mysql, user=rr password=rr \\\r\ndbname=snort host=localhost\r\n下一章將詳細(xì)討論如何應(yīng)用數(shù)據(jù)庫(kù)，下面是數(shù)據(jù)庫(kù)數(shù)據(jù)模塊的格式：\r\noutput database: <log | alert>, <database_type>, \\\r\n<parameter_list>\r\n這里database_type指的是數(shù)據(jù)庫(kù)類(lèi)型，如mysql，parameter_list是一些相關(guān)參數(shù)，用空格分隔。其中很多參數(shù)是可選的。\r\n下面是參數(shù)的列表：\r\n \r\n參數(shù)        描述           \r\nHost        運(yùn)行數(shù)據(jù)庫(kù)服務(wù)器的主機(jī)           \r\nPort        數(shù)據(jù)庫(kù)服務(wù)器的端口號(hào)           \r\nDbname        數(shù)據(jù)庫(kù)的名稱(chēng)           \r\nUser        數(shù)據(jù)庫(kù)的用戶名           \r\nPassword        用戶口令           \r\nSensor_name        Snort探測(cè)器的名稱(chēng)           \r\nDetail        Full或者fast模式，默認(rèn)是full           \r\nEncoding        記錄數(shù)據(jù)的ASCII，hex或者base64的編碼

phiazat

4.2.8CSV數(shù)據(jù)模塊\r\n利用CSV模塊，可以將輸出數(shù)據(jù)保存為CSV文件，可以將數(shù)據(jù)導(dǎo)入到其他的軟件中，如Excel等等。啟動(dòng)CSV模塊的語(yǔ)句模式如下：\r\noutput csv: <filename> <formatting_options>\r\n文件默認(rèn)被創(chuàng)建到/var/log/snort路徑下面，選項(xiàng)用來(lái)定義文件中儲(chǔ)存什么樣的信息以及以什么樣的順序儲(chǔ)存。\r\n例如，你用default作為格式選想那么告警的所有參數(shù)將被存儲(chǔ)在文件中：\r\noutput csv: csv_log default\r\n輸出文件的格式如下：\r\n07/23-18:24:03.388106 ,ICMP Packet with\r\nTTL=100,ICMP,192.168.1.100,,192.168.1.2,,0:2:3F:33:C6:98,0:E0:29:89:\r\n28:59,0x4A,,,,,,100,0,51367,60,20,8,0,,\r\n07/23-18:25:51.608106 ,GET\r\nmatched,TCP,192.168.1.2,1060,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x189,***AP***,0x55BCF404,0x8CBF42DD,,0x16D0,64,0,35580,37\r\n9,20,,,,\r\n07/23-18:25:52.008106 ,GET\r\nmatched,TCP,192.168.1.2,1061,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x1D0,***AP***,0x55628967,0x8D33FB74,,0x16D0,64,0,63049,45\r\n0,20,,,,\r\n07/23-18:25:52.478106 ,GET\r\nmatched,TCP,192.168.1.2,1061,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x1D0,***AP***,0x55628B01,0x8D33FC1B,,0x1920,64,0,63051,45\r\n0,20,,,,\r\n07/23-18:25:52.708106 ,GET\r\nmatched,TCP,192.168.1.2,1061,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x1EF,***AP***,0x55628C9B,0x8D33FCC1,,0x1D50,64,0,63053,48\r\n1,20,,,,\r\n每一行包括下面的字段：

phiazat

名稱(chēng)        描述           \r\nTimestamp        時(shí)間戳包含時(shí)間和日期           \r\nMsg        規(guī)則中msg字段中的信息           \r\nPorto        協(xié)議           \r\nSrc        源IP地址           \r\nDst        目的IP地址           \r\nDstport        目的端口           \r\nEthsrc        源MAC地址           \r\nEthdst        目的MAC地址           \r\nEthlen        以太網(wǎng)幀長(zhǎng)度           \r\nTcpflags        如果協(xié)議為T(mén)CP的話，這里就記錄標(biāo)志位           \r\nTcpseq        Tcp包的序列號(hào)           \r\nTcpack        Tcp的應(yīng)答號(hào)           \r\nTcplen        TCP包的長(zhǎng)度           \r\nTcpwindow        TCP窗口的大小           \r\nTtl        IP頭部的TTL值           \r\nTos        IP頭部的服務(wù)類(lèi)型值           \r\nId        包的ID值           \r\nDgmlen        數(shù)據(jù)報(bào)的長(zhǎng)度           \r\nIplen        IP頭部長(zhǎng)度           \r\nIcmptype        ICMP頭部的類(lèi)型段           \r\nIcmpid        ICMP頭部的ID           \r\nIcmpseq        ICMP序列號(hào)

phiazat

你可以用少量的選項(xiàng)，例如：\r\noutput csv: csv_log timestamp,msg,src,dst\r\n紀(jì)錄的日志如下：\r\n07/23-19:31:27.128106 ,GET matched,192.168.1.2,192.168.10.193\r\n07/23-19:31:27.278106 ,GET matched,192.168.1.2,192.168.10.193\r\n4.2.9統(tǒng)一紀(jì)錄輸出模塊\r\n同意輸出適合告訴紀(jì)錄，你可以將日志和告警存放不同的文件中，下面是配置格式：\r\noutput alert_unified: filename <alert_file>, \\\r\nlimit <max_size>\r\noutput log_unified: filename <log_file>, \\\r\nlimit <max_size>\r\n文件的大小用M字節(jié)表示，你可以同時(shí)記錄日志和告警，因?yàn)楦婢�文件并不包含包的詳�?xì)信息。下面是個(gè)例子：\r\noutput alert_unified: filename unified_alert, limit 50\r\noutput log_unified: filename unified_log, limit 200\r\n如果不指定路徑，那么文件將被創(chuàng)建在/var/log/snort中。在上面的例子中，告警文件的大小被限制在50M字節(jié)，日志文件是200M字節(jié)。\r\n統(tǒng)一日志用二進(jìn)制記錄問(wèn)津，你可以用一些工具開(kāi)查看，比如Barnyard。

phiazat

4.2.10SNMP Trap輸出模塊\r\n這個(gè)模塊可以向網(wǎng)絡(luò)管理中心輸出SNMP trap形式的告警，它可以產(chǎn)生SNMP 第二版和第三版的trap信息。格式如下：\r\noutput trap_snmp: alert, <sensor_ID>, {trap|inform} \\\r\n-v <snmp_version> -p <port_number> <hostname> <community>\r\n下面一行的作用是將SNMP 2C版的trap信息發(fā)到192.168.1.3的162端口，共同體名稱(chēng)為public：\r\noutput trap_snmp: alert, 8, trap -v 2c -p 162 \\\r\n192.168.1.3 public\r\n如果需要用SNMP，那么openssl的支持必須也在編譯Snort的時(shí)候選擇。\r\n4.2.11 空記錄數(shù)據(jù)模塊\r\n這個(gè)模塊可以導(dǎo)致不記錄告警，一般情況下不推薦使用。

phiazat

4.3 BPF過(guò)濾器\r\nBPF是在數(shù)據(jù)鏈路層過(guò)濾數(shù)據(jù)包的一種機(jī)制�；�于BPF的過(guò)濾器通常用tcpdump這樣的程序來(lái)過(guò)濾你想捕獲的數(shù)據(jù)包。你可以同時(shí)使用BPF和Snort。如果你使用BPF過(guò)濾器，那么Snort只能看到通過(guò)BPF過(guò)濾器的包。這樣可以過(guò)濾掉沒(méi)有意義的數(shù)據(jù)包，節(jié)省CPU時(shí)間。\r\n你可以將BPF過(guò)濾表放在一個(gè)文件中，在啟動(dòng)Snort的時(shí)候引用這個(gè)文件。假設(shè)你想讓Snort僅僅探測(cè)IP頭部的TOS不等于0的包，你可以創(chuàng)建一個(gè)文件bpf.txt，包含如下的一行：\r\nip[1] != 0\r\n數(shù)字1表示的IP頭部開(kāi)始計(jì)算的偏移量，1就是TOS位。\r\n然后，用下面的命令啟動(dòng)Snort:\r\nsnort -F bpf.txt -c /opt/snort/etc/snort.conf

phiazat

所有的系統(tǒng)都需要某種類(lèi)型的可以有效的紀(jì)錄的機(jī)制，這種機(jī)制通常是通過(guò)后臺(tái)的數(shù)據(jù)庫(kù)來(lái)完成的。Snort可以同MySQL、Oracle或者其他任何一種ODBC兼容的數(shù)據(jù)庫(kù)一起工作。在前面的章節(jié)中，你已經(jīng)了解了你可以通過(guò)輸出模塊將日志和告警保存在數(shù)據(jù)庫(kù)中，這對(duì)保存歷史數(shù)據(jù)并產(chǎn)生報(bào)告和分析數(shù)據(jù)是非常有用的。利用如ACID（將在下一章討論）之類(lèi)的工具，也可以得到關(guān)于入侵特征非常有用的信息，例如你可以得到最后15次攻擊的報(bào)告，其中的信息包括連續(xù)攻擊你的網(wǎng)絡(luò)的主機(jī)，攻擊不同協(xié)議的分布等等。\r\nMySQL是可以免費(fèi)得到的數(shù)據(jù)庫(kù)系統(tǒng)，并且能夠在Linux和其他操作系統(tǒng)上很好的工作，因此對(duì)于Snort來(lái)說(shuō)，是一種很自然的選擇。\r\n你可以在運(yùn)行Snort的機(jī)器上同時(shí)安裝MySQL服務(wù)器，如圖5-1所示。\r\n你也可以將MySQL服務(wù)器安裝到另外一臺(tái)機(jī)器上，并將Snort日志記錄到這臺(tái)機(jī)器，如圖5-2所示

phiazat

你也可以用一臺(tái)中心MySQL服務(wù)器記錄多個(gè)Snort感應(yīng)器的信息，如圖5-3所示。\r\n方案的選擇取決于你的特定需求。例如，你只有一個(gè)Snort感應(yīng)器，并且沒(méi)有現(xiàn)有的數(shù)據(jù)庫(kù)服務(wù)器，這樣一個(gè)很自然的做法是將數(shù)據(jù)庫(kù)和Snort安裝在同一個(gè)機(jī)器上。但如果你有多個(gè)Snort機(jī)器，就應(yīng)該建立一個(gè)中心數(shù)據(jù)庫(kù)服務(wù)器，如圖5-5所示。\r\n如果從遠(yuǎn)程Snort機(jī)器登錄到獨(dú)立的數(shù)據(jù)庫(kù)服務(wù)器上，在傳輸數(shù)據(jù)的時(shí)候可以不采取安全措施，也可以采用某種加密手段。利用安全隧道，所有在Snort機(jī)器和數(shù)據(jù)庫(kù)服務(wù)器之間傳輸?shù)臄?shù)據(jù)都將被加密，這種手段也可以用于穿越防火墻的情況，因?yàn)檫@時(shí)你可以利用防火墻已經(jīng)打開(kāi)的端口。\r\n在將Snort數(shù)據(jù)記錄到MySQL數(shù)據(jù)庫(kù)之前，你建立一個(gè)庫(kù)。建立數(shù)據(jù)庫(kù)后，必須要為數(shù)據(jù)庫(kù)創(chuàng)建表用來(lái)記錄Snort數(shù)據(jù)。你可以在http://www.incident.org/snortdb/ ... 娼�会对此�齔鏊得鰲?/a>\r\n學(xué)習(xí)完本章后，你將可以安裝Snort和MySQL并將所有的Snort活動(dòng)記錄到數(shù)據(jù)庫(kù)中。你也將了解如何用中心數(shù)據(jù)庫(kù)服務(wù)器紀(jì)錄多個(gè)Snort機(jī)器的數(shù)據(jù)。本章的最后部分將提供用安全隧道來(lái)管理Snort和遠(yuǎn)程數(shù)據(jù)庫(kù)服務(wù)器間傳輸通道安全的信息。

phiazat

5．1使Snort與MySQL共同工作\r\n為使Snort與MySQL共同工作，有幾個(gè)事情需要做。下面是建立Snort-MySQL系統(tǒng)的步驟。關(guān)于每個(gè)步驟的詳細(xì)信息將在本章的后面介紹。\r\n編譯Snort使之支持MySQL并安裝，并測(cè)試一些告警以確信Snort工作正常。在第2章已經(jīng)敘述過(guò)，你需要在運(yùn)行configure腳本的時(shí)候加上—with-mysql的命令行參數(shù)。\r\n安裝MySQL并用mysql客戶端來(lái)確定數(shù)據(jù)庫(kù)可以正常工作。\r\n在MySQL服務(wù)器中創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)，我將這個(gè)數(shù)據(jù)庫(kù)命名為snort，你也可以叫它其他的名字。本章的后面將對(duì)此進(jìn)行詳細(xì)討論。\r\n為數(shù)據(jù)庫(kù)創(chuàng)建一個(gè)用戶及口令，Snort將用這個(gè)用戶名來(lái)記錄數(shù)據(jù)。\r\n用snort分發(fā)包的contrib目錄下面的腳本來(lái)為數(shù)據(jù)庫(kù)創(chuàng)建表。。\r\n修改snort.conf，使數(shù)據(jù)庫(kù)模塊起作用，本章的后面將對(duì)此進(jìn)行討論。在此你將用到剛剛建立的數(shù)據(jù)庫(kù)的名稱(chēng)和用戶名及口令。。\r\n重新啟動(dòng)Snort，如果一切正常，Snort將開(kāi)始向數(shù)據(jù)庫(kù)記錄數(shù)據(jù)。\r\n產(chǎn)生一些告警并用mysql客戶端程序來(lái)確定告警已被紀(jì)錄。\r\n本章的剩下部分將解釋如何實(shí)現(xiàn)這些步驟，下一章將討論ACID的應(yīng)用，此時(shí)本章你做的事情才能夠得到實(shí)際的應(yīng)用價(jià)值。

phiazat

5.1.1 第一步：使Snort支持MySQL的編譯方法\r\n如果你需要使Snort支持MySQL數(shù)據(jù)庫(kù)，那么你必須在編譯的時(shí)候帶上—with-mysql的參數(shù)。在第二章中，我們已經(jīng)敘述過(guò)如何用configure腳本來(lái)做這樣的事情。\r\n典型的configure腳本命令行運(yùn)行方式如下所示：\r\n./configure --prefix=/opt/snort --with-mysql=/usr/lib/mysql\r\n我建議你在運(yùn)行configure腳本的時(shí)候，同時(shí)加入其他組件的支持，如SNMP等，它們也是非常有用的。在編譯的時(shí)候，MySQL的系統(tǒng)庫(kù)文件必須在/usr/lib/mysql中存在才能成功。詳細(xì)信息可以在第二章中查閱