网络入侵检测--Snort软件NIDS模式报警信息详解
Snort最有价值的地方,就是它作为NIDS网络入侵检测软件来分析监控实时流量,那么最终能够产生的报警结果,也就是我们最关注的东西,即我们使用snort需要的就是拿到报警信息,并且联动到我们其他软件模块,这才算起到了作用,没有人会傻乎乎的守着终端看有没有报警啊
那么来介绍一下,NIDS模式下产生的报警信息。
首先,我们来看一下,报警模式下运行,能够产生哪些格式的报警信息,通过哪些途径产生。命令是通过-A参数进行配置的,一共有六种方式
| 参数 | 作用 |
|---|---|
| -A fast | 快速警报模式。使用时间戳、警报消息、源和目标IP/端口以简单格式写入警报。 |
| -A full | 完全警报模式。这是默认警报模式,如果未指定模式,将自动使用。 |
| -A unsock | 向另一个程序可以监听的UNIX套接字发送警报。 |
| -A none | 关闭警报。 |
| -A console | 向控制台(屏幕)发送“快速样式”警报。 |
| -A cmg | 生成“cmg样式”警报。 |
然后我们来逐一看一下产生的报警如何。
测试方法,首先在snort.conf中增加如下两行,使得操作更简单
###增加接口
config interface:enp1s0
#增加日志存储路径
config logdir:/var/log/snort
还需要配置好规则,目前我们打开了scada的规则,在snort.conf中增加
include $RULE_PATH/protocol-scada.rules
其中触发的规则就是
alert tcp $EXTERNAL_NET any -> $HOME_NET 502 (msg:"PROTOCOL-SCADA Modbus read holding registers from external source"; flow:to_server,established; modbus_func:read_holding_registers; metadata:policy max-detect-ips drop; reference:url,www.modbus.org/docs/Modbus_Application_Protocol_V1_1b.pdf; classtype:protocol-command-decode; sid:17790; rev:5;)
最后我们提供了一个pcap文件/tmp/all.pcap,作为分析样本。内部包含了一条触发上面规则的modbus协议数据
快速报警
我们来测试快速报警产生,通过执行命令
snort -c /etc/snort/rules/etc/snort.conf -A fast -r /tmp/all.pcap
然后在/var/log/snort下就能产生报警文件和记录文件
其中alert就是存储报警信息的文件,snort.log.xxxx就是记录下的报警报文的pcap文件。是不是很简单?
然后我们来看alert中的数据
[root@localhost ~]# cat /var/log/snort/alert
08/03-13:47:59.825270 [**] [1:17790:5] PROTOCOL-SCADA Modbus read holding registers from external source [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 192.168.8.1:49695 -> 192.168.8.3:502
08/03-13:48:00.836034 [**] [1:17790:5] PROTOCOL-SCADA Modbus read holding registers from external source [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 192.168.8.1:49695 -> 192.168.8.3:502
08/03-13:48:01.862030 [**] [1:17790:5] PROTOCOL-SCADA Modbus read holding registers from external source [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 192.168.8.1:49695 -> 192.168.8.3:502
以第一条为例,分开解释
| 字段 | 含义 |
|---|---|
| 08/03-13:47:59.825270 | 时间戳 |
| [**] | 分割符 |
| [1:17790:5] | 这三部分是GID|sid|rev,分别对应了Generator ID,规则里面的sid字段和rev字段。gid可以通过gen-msg.map文件查看到含义。 |
| PROTOCOL-SCADA Modbus read holding registers from external source | 规则中的msg字段 |
| [**] | 分割符 |
| [Classification: Generic Protocol Command Decode] | 分类:属于通用协议命令解码 |
| [Priority: 3] | 优先级 |
| {TCP} | tcp类型 |
| 192.168.8.1:49695 -> 192.168.8.3:502 | 来往地址及端口 |
所以我们通过-A fast方式可以得到如上数据。
完整报警
我们用-A full 代替前面的-A fast
snort -c /etc/snort/rules/etc/snort.conf -A full -r /tmp/all.pcap
就会得到下面的报警
[**] [1:17790:5] PROTOCOL-SCADA Modbus read holding registers from external source [**]
[Classification: Generic Protocol Command Decode] [Priority: 3]
08/03-13:47:59.825270 192.168.8.1:49695 -> 192.168.8.3:502
TCP TTL:128 TOS:0x0 ID:60237 IpLen:20 DgmLen:52 DF
***AP*** Seq: 0xA2229E72 Ack: 0x34FEC424 Win: 0x1400 TcpLen: 20
[Xref => http://www.modbus.org/docs/Modbus_Application_Protocol_V1_1b.pdf]
前三行与简单报警基本一致,只是时间放的位置变了。
后面两行就是TCP协议的一些数据,例如TTL,TOS,Seq及 Ack等
最后一行是规则中的reference字段。
套接字传输报警
我们用-A unsock 参数,执行命令
snort -c /etc/snort/rules/etc/snort.conf -A full -r /tmp/all.pcap
这个就是Snort会创建一个IPC socket。然后将报警信息发送到这个socket,其他进程可以通过监听这个本地socket,获得报警信息。
传递的socket文件是
snort_alert,位于你用的log路径下,即前面的/var/log/snort
socket API原本是为网络通讯设计的,但后来在socket的框架上发展出一种IPC机制,就是UNIX Domain Socket。虽然网络socket也可用于同一台主机的进程间通讯(通过loopback地址127.0.0.1),但是UNIX Domain Socket用于IPC更有效率:不需要经过网络协议栈,不需要打包拆包、计算校验和、维护序号和应答等,只是将应用层数据从一个进程拷贝到另一个进程。这是因为,IPC机制本质上是可靠的通讯,而网络协议是为不可靠的通讯设计的。UNIX Domain Socket也提供面向流和面向数据包两种API接口,类似于TCP和UDP,但是面向消息的UNIX Domain Socket也是可靠的,消息既不会丢失也不会顺序错乱。
值得注意的地方是,这个发送的消息,只有规则中的msg字段,即前面的“PROTOCOL-SCADA Modbus read holding registers from external source”,并无其他消息,所以感觉这个方式有些鸡肋。
关闭报警
越说越没用
可能用户就是想安静一下
……
snort -c /etc/snort/rules/etc/snort.conf -A none-r /tmp/all.pcap
控制台输出报警
这个主要是用来调试查看报警信息,直接在终端中就能看到报警信息。
snort -c /etc/snort/rules/etc/snort.conf -A cconsole -r /tmp/all.pcap
cmg模式
这个将在控制台输出结果,会输出链路层数据,及后面会有数据段内容
snort -c /etc/snort/rules/etc/snort.conf -A cmg -r /tmp/all.pcap
结果如下
08/03-13:47:59.825270 [**] [1:17790:5] PROTOCOL-SCADA Modbus read holding registers from external source [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 192.168.8.1:49695 -> 192.168.8.3:502
Stream reassembled packet
08/03-13:47:59.825270 C8:F7:50:F6:5F:D4 -> A4:BB:6D:AA:2E:45 type:0x800 len:0x42
192.168.8.1:49695 -> 192.168.8.3:502 TCP TTL:128 TOS:0x0 ID:60237 IpLen:20 DgmLen:52 DF
***AP*** Seq: 0xA2229E72 Ack: 0x34FEC424 Win: 0x1400 TcpLen: 20
41 79 00 00 00 06 01 03 00 00 00 0A Ay..........
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
最后补充一种高速处理的方式
报警存储为unified2格式
配置snort.conf,开启unified2,output unified2:filename snort.log,limit 128
通过执行命令
snort -c /etc/snort/rules/etc/snort.conf -r /tmp/all.pcap
就能够在log路径下生成结果,这个结果就不再是pcap包,而是二进制数据,查看方法是,通过命令
u2spewfoo /var/log/snort/snort.log.1637217363
然后可以通过工具Barnyard2,将数据慢慢写入到msyql中。
Barnyard2的作用是读取Snort产生的二进制事件文件并存储到MySQL中。Snort的配置文件自身含有插件,它允许将Snort报警记录到MySQL中,但这样一来,系统数据会激增。当IDS系统检测到***行为时,它会用INSERT语句向数据库中写入数据,导致更新非常慢。所以如果直接将Snort输出到数据库,在数据量增大时这种方案的效率并不高,故使用外部代理将报警输出到Barnyard2。
这里就不详解了,有兴趣的可以百度snort barnyard两个关键词
还是回到前面的话,结果是为了其他软件服务,通过这些方式,将snort作为关键模块融合到系统中,才是正道
最近发现学习,写博客也能让人上瘾,就像多年以前健身的时候一样,一下班就去健身房,周末也不会放弃。其实能让人上瘾的方式,就是你的持续有立竿见影的效果,哪怕是很微小的,熬过了前面几天,后续就会欲罢不能。
另外一个原因就是:闲的。
