Snort总结-简介
入侵检测
是指用来检测针对网络及主机的可疑活动的一系列技术和方法。入侵检测系统基本可以分为两大类:基于特征的入侵检测系统和异常行为检测系统。
入侵检测系统或IDS
是一种用来检测入侵行为的软件、硬件或者两者的结合。Snort是大众可以获得的开放源码的IDS。IDS的实际能力依赖于组件的复杂度及精巧性。实体的IDS是硬件和软件的结合,很多公司可以提供及决方案。
网络IDS或NIDS
是用来捕获在网络介质上传播的数据并与特征数据库比对的入侵检测系统。跟据数据包与特征数据库的匹配情况,IDS产生告警或者将日志记录到文件或数据库中。Snort主要是作为NIDS来使用的。
主机IDS或HIDS
面向主机的入侵检测系统或称HIDS作为一个代理安装在一台主机上,这种入侵检测系统可以分析系统及应用程序日志来检测入侵行为。其中一些HIDS是被动状态的,只有当某些事情发生了才会通知你,另外一些是主动状态的,可以嗅探网络中针对某一主机的通信状况并实时产生告警。
IDS 策略
在你在网络中安装IDS之前,你必须有一个能够检测入侵者并做出相应动作的策略。一个策略必须能够指示一系列的规则以及这些规则如何应用。
蜜罐(HoneyPots)
蜜罐是一种以故意暴露已知弱点来愚弄黑客的系统。当黑客发现蜜罐时,通常会在它上面耗费一些时间,在此期间,你可以记录黑客的行为,从中找出黑客的活动情况和所使用的技术。Snort 规则
一旦安装、配置了 Snort,并已经开始工作,要考虑的下一件事情是规则。Snort规则定义了用于查找网络上潜在恶意流量的方式和标准。没有这些 IDS 规则,Snort 仅仅只是另一个嗅探器。Snort规则的编写相对简单,因此用户可以自定义规则,另外Snort.org 等也提供 Snort 的官方规则以及用户共享的规则。
Snort是一个跨平台、轻量级的网络入侵检测工具,从入侵检测的分类上看,Snort应当属于基于网络的误用检测。针对每一种入侵行为,都提炼出它的特征并按照规范写成规则,从而形成一个规则库,将捕获的数据包对照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
入侵检测系统Snort具有如下特点:
1.Snort具有跨平台性,它支持的操作系统广泛。
•NetBSD
• Solaris(Sparc或者i386)
• HP-UX
• AIX
• IRIX
• MacOS
• Windows支持Windows系列
3.具有实时流量分析和记录IP网络数据包的能力。能够快速检测网络攻击,及时发出警告。它提供的警告方式很丰富,比如syslog,Unix Socket,win Popup等。
4.Snort能够进行协议分析,内容的匹配和搜索。现在它能够分析的协议有TCP,UDP和ICMP。将来的版本,将提供对ARP,ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。它也能检测多种方式的攻击和探测,比如:缓冲区溢出,CGI攻击,SMB检测,探测操作系统特征的企图等。
5.Snort具有灵活的日志格式。支持Topdump的二进制格式,也支持ASCII字符形式,也支持XML格式的,更便于维护和检查。使用数据库输出插件,Snort可以把日志记入数据库,当前支持的大多数流行数据库,包括:MySQL,Microsoft SQL Serve以及Oracle和Unix ODBC等。
6.使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组,这种能力使得Snort可以对抗“无状态"攻击。无状态攻击是指攻击者使用一个程序,每次只发送一个字节的数据包,就完全可以避开Snort的模式匹配,而被攻击主机的TCP栈会重新组合这些数据包,将攻击数据发送给目标端口上监听的进程,从而使攻击包逃过Snort的检测。使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备对付这种攻击的能力。
7.使用SPADE(Statistical Packet Anomaly DetectionEngine)插件,Snort能够报告异常的数据包,从而对端口扫描进行有效的检测。
8.Snort还具有很强的系统防护能力。使用IP Tables,IPFilter插件可以使入侵检测主机和防火墙联动,通过F1exResp功能,Snort能够命令防火墙断开恶意连接。
9.Snort扩展性好,对新的攻击威胁反应迅速。Snort采用了一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言)。最基本的规则包含四个域:处理动作,协议,方向,端口,例如:Log Tcp Anyany 10.1.1.0/24 800。
10.Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。发现新攻击后,可以很快地根据邮件列表,找到特征码,写出新的规则文件,迅速建立规则表。
11.Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其进行功能扩展。Snort当前支持的插件有:数据库日志输出插件,破碎数据包检测插件,端13扫描检测插件,HttpURL插件,XML网页生成插件等。
相关资源
1. 入侵检测 FAQ :http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm
2. 蜜罐项目:http://project.honeynet.org/
3. Snort FAQ : http://www.snort.org/docs/faq.html
4. Honeyd 蜜罐: http://www.citi.umich.edu/u/provos/honeyd/
5. Winpcap : http://winpcap.polito.it/
6. Cisco systems : http://www.cisco.com
7. Checkpoint 网站: http://www.checkpoint.com
8. Netscreen :http://www.netscreen.com
9. Netfilter : http://www.netfilter.org
10. Snort :http://www.snort.org
11. Nmap工具: http://www.nmap.org
12. Nessus : http://www.nessus.org
13. MySQL 数据库:http://www.mysql.org
14. ACID: http://www.cert.org/kb/acid
15. Apache web 服务器: http://www.apache.org
防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。
【实验目的】
1.掌握snortIDS工作机理
2.应用snort三种方式工作
3.熟练编写snort规则
【实验原理】
1.Snort IDS概述
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。
2.Snort IDS体系结构
Snort IDS体系结构如图8.1所示。
图8.1 SnortIDS体系结构
如上图所示,Snort的结构由4大软件模块组成,它们分别是:
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分析;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块;
(4)报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、WindowsPopup(SMB)、SNMP协议的trap命令传送给日志文件,甚至可以将报警传送给第三方插件(如SnortSam),另外报警信息也可以记入SQL数据库。
3.Snort三种工作方式
Snort拥有三大基本功能:嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络上读取数据包并作为连续不断的流显示在终端上,常用命令snort-dev。数据包记录器模式是把数据包记录到硬盘上,常用命令snort-b。网络入侵检测模式是最复杂的,而且是可配置的。我们可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
4.Snort规则
1)snort规则定义
Snort使用一种简单的规则描述语言,这种描述语言易于扩展,功能也比较强大。Snort规则是基于文本的,规则文件按照不同的组进行分类,比如,文件ftp.rules包含了FTP攻击内容。「注」Snort的每条规则必须在一行中,它的规则解释器无法对跨行的规则进行解析。
Snort的每条规则都可以分成逻辑上的两个部分:规则头和规则体。
规则头包括4个部分:规则行为;协议;源信息;目的信息。
图8.2是对于规则头的描述。
图8.2 snort规则头
Snort预置的规则动作有5种:
(1)pass—动作选项pass将忽略当前的包,后继捕获的包将被继续分析。
(2)log—动作选项log将按照自己配置的格式记录包。
(3)alert—动作选项alert将按照自己配置的格式记录包,然后进行报警。它的功能强大,但是必须恰当的用,因为如果报警记录过多,从中攫取有效信息的工作量增大,反而会使安全防护工作变得低效。
(4)dynamic—动作选项dynamic是比较独特的一种,它保持在一种潜伏状态,直到activate类型的规则将其触发,之后它将像log动作一样记录数据包。
(5)activate—动作选项activate功能强大,当被规则触发时生成报警,并启动相关的dynamic类型规则。在检测复杂的攻击,或对数据进行归类时,该动作选项相当有用。
除了以上5种预置的规则动作类型,用户还可以定制自己的类型。
规则体的作用是在规则头信息的基础上进一步分析,有了它才能确认复杂的攻击(Snort的规则定义中可以没有规则体)。规则体由若干个被分别隔开的片断组成,每个片断定义了一个选项和相应的选项值。一部分选项是对各种协议的详细说明,包括IP、ICMP和TCP协议,其余的选项是:规则触发时提供给管理员的参考信息,被搜索的关键字,Snort规则的标识和大小写不敏感选项。
下面是一个规则实例。
其中,alert表示规则动作为报警。
tcp表示协议类型为TCP协议。
!192.168.0.1/24表示源IP地址不是192.168.0.1/24。
第一个any表示源端口为任意端口。
->表示发送方向操作符。
第二个any表示目的IP地址为任意IP地址。
21表示目的端口为21。
content:"USER"表示匹配的字符串为“USER”。
msg:"FTPLogin"表示报警信息为“FTPLogin”。
上面的规则也可写成:
方向操作符->表示数据包的流向。它左边的数据包分别是源地址和源端口,目的地址和目的端口。此外,还有一个双向操作符<>,它使Snort对这条规则中,两个IP地址/端口之间的数据传输进行记录/分析,例如telnet或者POP3对话。下面的规则表示对一个telnet对话的双向数据传输进行记录:
activate/dynamic规则对扩展了snort功能。使用activate/dynamic规则对,你能够使用一条规则激活另一条规则,当一条特定的规则启动,如果你想要snort接着对符合条件的数据包进行记录时,使用activate/dynamic规则对非常方便。除了一个必需的选项activates外,激活规则非常类似于报警规则(alert)。动态规则(dynamic)和日志规则(log)也很相似,不过它需要一个选项:activated_by。动态规则还需要另一个选项:count。当一个激活规则启动,它就打开由activate/activated_by选项之后的数字指示的动态规则,记录count个数据包。
下面是一条activate/dynamic规则对的规则:
 |
|
在上面的例子里activate规则的“activates”值为111,dynamic规则的“activated_by”值为111,这样就把两个规则关联起来,而不是因为这两个规则有相同的规则头。
2)预处理综述
预处理器在调用检测引擎之前,在数据包被解码之后运行。通过这种机制,Snort可以以一种outofband的方式对数据包进行修改或者分析。
预处理器可以使用preprocessor关键词来加载和配置,常用到的预处理器如下:
(1)HTTPdecode预处器
HTTP解码预处理模块用来处理HTTPURL字符串,把它们转换为清晰的ASCII字符串。
(2)端口扫描器portscan
端口扫描器会把由单个源IP地址发起的端口扫描从开始到结束的全过程记录到标准日志。
(3)stream处理器
stream处理器为snort提供了TCP数据包重组的功能。在配置的端口上,stream处理器能够对TCP数据包的细小片段进行重组,使之成为完整的TCP数据包,然后snort可以对其可疑行为进行检查。
(4)frag2处理器
frag2预处理器为snort提供了IP分片重组的功能。frag2预处理器能够对分片包进行重组来定位分片攻击,它的工作原理是将所有的分片重组构造成一个包含完整信息的数据包,再将这个包传给检测引擎。
5.Snort应用
Snort采用命令行方式运行。格式为:snort–[options]
1)Snort主要选项参数
-A
-a显示ARP包。
-b以tcpdump的格式将数据包记入日志。所有的数据包将以二进制格式记录到snort.log文件中。这个选项提高了snort的操作速度,因为直接以二进制存储,省略了转换为文本文件的时间,通过-b选项的设置,snort可以在100Mbps的网络环境中正常工作。
-c
-C仅抓取包中的ASCII字符。
-d抓取应用层的数据包。
-D在守护模式下运行snort。
-e显示和记录数据链路层信息。
-F
-h
-i
-l
-n
-N关闭日志功能,报警功能仍然工作。
-p关闭混杂模式的嗅探(sniffing)。这个选项在网络严重拥塞时十分有效。
-r
-s将报警信息记录到系统日志,日志文件可以出现在/var/log/messages目录里。
-v将包信息显示到终端时,采用详细模式。这种模式存在一个问题:它的显示速度比较慢,如果你是在IDS网络中使用snort,最好不要采用详细模式,否则会丢失部分包信息。
-V显示版本号,并退出。
2)Filters过滤器
Snort的
Snort应用了BPF机制,可以在探测器上书写和执行BPF规则的文件。BPF机制允许用户书写快速的包分析规则,这些规则主要基于源、目的、和其他的头信息。通过嗅探和BPF,我们可以只捕获需要的流量,这样就减轻了需要处理的数据量。
BPF机制很容易理解,可以用于分析TCP、UDP、IP和ICMP协议。规则语法很像自然的口语,使用“and”和“or”作为规则操作符,用“not”作为取反符,此处还可以用括号来告诉引擎将一系列数据作为一个整体来处理。
例如:ICMP捕获:icmp。
telnet请求数据包捕获:tcp and dst port 23。
记录所有源自网络192.168.0.0/24,目的是202.98.0.0/24的IP流量:ip and "src net 192.168.0 " and "dst net 202.98.0 " 。
【实验步骤】
本练习主机A、B为一组,C、D为一组,E、F为一组。
首先使用“快照X”恢复Linux系统环境。
一.Snort数据包嗅探
1.启动Snort
进入实验平台,单击工具栏“控制台”按钮,进入IDS工作目录,运行Snort对网络接口eth0进行监听,要求如下:
(1)仅捕获同组主机发出的icmp回显请求数据包。
(2)采用详细模式在终端显示数据包链路层、应用层信息。
(3)对捕获信息进行日志记录,日志目录/var/log/snort。
Snort命令: snort -i eth0 -dev icmp and src 同组主机IP -l /var/log/snort
本机执行上述命令,同组主机对当前主机进行ping探测,根据snort捕获信息填写表8.1。
表8.1
| 数据帧源MAC |
同组主机MAC |
| 数据帧目的MAC |
本机MAC |
| IP上层协议类型 |
ICMP |
| 数据包源IP |
同组主机IP |
| 数据包目的IP |
本机IP |
| 数据包总长度 |
0x62 |
| IP报文头长度 |
20 |
| ICMP报文头长度 |
8 |
| ICMP负载长度 |
56 |
| ICMP类型/代码 |
8/0 |
2.查看Snort日志记录。
「说明」默认snort日志记录最后一级目录会以触发数据包的源IP命名。可使用组合键Ctrl+C停止snort运行。
二.Snort数据包记录
(1)对网络接口eth0进行监听,仅捕获同组主机发出的Telnet请求数据包,并将捕获数据包以二进制方式进行存储到日志文件中/var/log/snort/snort.log)。
Snort命令: snort -i eth0 -b tcp and src 同组主机IP and dst port 23
(2)当前主机执行上述命令,同组主机telnet远程登录当前主机。
(3)停止snort捕获(Ctrl+C),读取snort.log文件,查看数据包内容。
snort命令 snort -r /var/log/snort/snort.log.XXXX
三.简单报警规则
(1)在snort规则集目录ids/rules下新建snort规则集文件new.rules,对来自外部主机的、目标为当前主机80/tcp端口的请求数据包进行报警,报警消息自定义。
snort规则: alert tcp any any -> 本机IP 80 (msg: "XXX";) 。
根据规则完成表8.2的填写。
表8.2
| snort规则动作 |
报警 |
| 规则头协议 |
tcp |
| 规则头源信息 |
任意IP 任意端口 |
| 规则头目的信息 |
当前主机IP 80 |
| 方向操作 |
当前主机为接收端 |
| 报警消息 |
XXX |
(2)编辑snort.conf配置文件,使其包含new.rules规则集文件,具体操作如下:使用vim(或vi)编辑器打开snort.conf,切换至编辑模式,在最后添加新行包含规则集文件new.rules。
添加包含new.rules规则集文件语句
include $RULE_PATH/new.rules(规则集文件路径) 。
(3)以入侵检测方式启动snort,进行监听。
启动snort的命令 snort -c snort.conf 。
以入侵检测方式启动snort,同组主机访问当前主机Web服务。
根据报警日志(/var/log/snort/alert)完成表8.3的填写。
表8.3
| 报警名称 |
XXX |
| 数据包源IP |
同组主机IP |
| 数据包目的IP |
本机IP |
| 数据包源端口号 |
随机 |
| 数据包目的端口号 |
80 |
四.字符串匹配
说明:FTP服务接收来自客户端的ftp请求(目标端口21/tcp)后,在应答数据包中将告诉客户端自己所使用的FTP软件及版本号,Fedora core 5所使用的FTP服务器软件是vsFTPd 2.0.4。换句话说,当网络中传输的数据包含有“vsFTPd”字样的内容时,极大的可能性是一个ftp用户在远程登录Linux下的FTP服务器。通过入侵检测系统对网络数据包进行匹配,发现含有“vsFTPd”字样的数据包,并记录其后续的若干数据包,因为若FTP会话是以明文方式进行的话,那么这些数据包中会有用户登录所使用的用户名及口令。
(1)在snort规则集目录/opt/ExpNIS/NetAD-Lib/Tools/ids/rules下新建snort规则集文件new2.rules,对网络中由vsFTPd参与的通信进行报警,并在FTP服务器声明身份后第一时间内捕获FTP客户端登录用户名及登录口令。
(2)利用activate/dynamic规则对实现。
snort规则 activate tcp any 21 -> any any (activates: 81; content: "vsFTPd"; msg: "FTP User Login"; )
(3)编辑snort.conf配置文件,使其包含new2.rules规则集文件。
(4)以入侵检测方式启动snort,进行监听。需要特别说明的是:网络传输数据中的FTP用户名及口令数据是应用层(ISO七层协议)数据,默认情况下snort不显示和记录应用层数据,所以此处在启动snort时应指定其抓取、记录应用层数据。
启动snort的命令: snort -d -c snort.conf 。
同组主机远程FTP登录,登录过程如图8.3所示。
图8.3 FTP登录
查看报警日志(日志文件所在目录以远程FTP登录主机IP命名)提取出FTP客户端登录时所使用的用户名及登录口令。
五.端口扫描攻击检测
(1)修改snort配置文件snort.conf启动端口扫描预处理器,以入侵检测方式启动snort,对来自外部的端口扫描行为进行检测。
预处理描述:
preprocessor portscan: 172.16.0.0/24 4 3 /var/log/snort/portscan.log
(2)同组主机使用Nmap(/opt/ExpNIS/NetAD-Lib/Tools/portscan/namp)对当前主机进行TCP端口扫描操作,待端口扫描完成,查看portscan.log报警日志,回答下面问题。
「注」若第一次端口扫描后portscan.log没有日志,不要退出snort,请同组主机进行第二次端口扫描。
portscan.log日志记录格式描述:
日期 时间 攻击源IP:源端口 -> 目标主机IP:扫描端口 SYN ******S* 。
默认情况下,Nmap在进行目标主机TCP端口扫描时,扫描顺序:(有序/无序)。无序
六.IP分片重组检测
说明:IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。这一过程称为分片(Fragmentation)。IP分片(Fragmentation)发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说,在以太网(Ethernet)环境中可传输最大IP报文大小(MTU)为1500字节。如果要传输的报文大小超过1500字节,则需要分片之后进行传输。由此可以看出,IP分片在网络环境中是经常发生的事件。但是,如果经过人为的恶意操作的分片,会导致拒绝服务攻击,成为渗透路由器、防火墙或者网络入侵检测系统(NIDS)的一种攻击手段。
IDS对单包进行特征检测,一个攻击者可以使用分片工具将一个包分解成多个分片,而每个单独的分片都不会匹配特征。snort的frag2预处理器能够对分片包进行重组来定位这类攻击。
对IP碎片的探测不是基于规则匹配的,所以snort仍然需要预处理器对IP分片进行重组。在snort.conf配置文件中激活preprocessorfrag2项,就可以实现对IP分片进行重组。实例说明如下:
preprocessorfrag2:timeout60,memcap4194304
timeout选项指明了分片重组的超时时间。如果在这段时间里没有收到分片,就停止对这个包的重组。
memcap选项限制了用于分片重组的内存数量。如果frag2用尽了这部分内存,它就会从分片表中淘汰不活跃的分片。
操作概述:以主机A、B为例,对实验步骤进行说明。主机B利用fragroute构造分片数据包,并将特定负载数据拆分到分片数据包中,并通过eth0发送出去;主机A首先修改snort配置文件snort.conf启动分片重组预处理器,接下来编写报警规则对包含主机B特定负载数据的数据包进行报警,最后以入侵检测方式启动snort,对来自外部的IP分片攻击进行检测。
1.主机B构造并发送IP分片数据包
利用fragroute对流经网络接口的数据包进行指定大小的分片,操作方法如下:
(1)切换当前工作目录至/opt/ExpNIS/NetAD-Lib/Tools/fragroute/,编辑fragroute配置文件(默认目录/opt/ExpNIS/NetAD-Lib/Tools/fragroute/fragroute.conf),修改“ip_frag”项确定分片数据包IP负载大小。
「说明」ip_frag指定的分片大小必须是8的整数倍,默认为24。
(2)执行命令:./fragroute-ffragroute.conf主机A的IP,启动fragroute。点击控制台按钮,打开新的终端对主机A进行ping操作,fragroute会将icmp回显请求数据包分片并发送出去。
「说明」若fragroute提示“fragroute:norouteto主机A的IP:Nosuchprocess”信息,则先对目标主机A进行ping探测,而后继续启动fragroute即可。
2.主机A监听检测
(1)主机A启动snort以网络嗅探方式进行监听,捕获分析分片数据包负载状况。默认情况下如图8.4所示。
图8.4
「注」ip_frag指定的分片大小不同,图中划线部分数据可能不同。
从上图分析可知,ping请求数据包是以分片方式发送出来的,其中数据串“15161718191A”被分割到两个数据包中单独进行发送,接收方由TCP/IP的第三层(网络层)对分片进行重组,进而才将“15161718191A”重组到一个数据包中。
(2)添加snort检测规则,对网络中包含有“15161718191A”数据串(应根据实际数据值来确定此处数据串,此处是以图22-1-2为例的)的数据包进行检测报警。
snort规则
(3)修改snort配置文件snort.conf启动分片重组预处理器,并包含新规则集文件。
预处理描述:
(4)以入侵检测方式启动snort,开始监听。
(5)同组主机继续对当前主机进行ping探测,并成功对icmp回显请求数据包进行分片。
(6)当前主机查看snort报警日志。若有“Fragment Test”报警消息,证明snort成功对分片数据包进行了重组。
【实验心得】
通过这次实验使我认识了入侵检测系统这一强大的网络入侵检测系统。它不仅具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配,而且能够检测各种不同的攻击方式,对攻击进行实时报警。并且了解了Snort的三大基本功能:嗅探器、数据包记录器和入侵检测,学会了它的基本用法,如一些指令、命令和规则。进一步熟悉了Snort的编写规则。