安全 | 开源入侵防御系统 Snort

---

theme: orange

持续创作，加速成长！这是我参与「掘金日新计划 · 6 月更文挑战」的第21天，点击查看活动详情

个人主页：@青Cheng序员石头

Snort 概要 是世界上最重要的开源入侵防御系统 (IPS)。其由 Sourcefire 创始人、前首席技术官 Martin Roesch 创建，目前由Cisco开发和维护。

Snort 概要

Snort 概要 是世界上最重要的开源入侵防御系统 (IPS)。其由 Sourcefire 创始人、前首席技术官 Martin Roesch 创建，目前由Cisco开发和维护。 长期以来，Snort 一直是企业入侵防御和检测工具的领导者，用户可以在大多数 Linux 操作系统(OS)或 Unix 上编译 Snort，同时也支持Windows 版本。

Snort 被称为数据包嗅探器，它监视网络流量，仔细检查每个数据包以检测危险的有效负载或可疑的异常。其使用一系列规则来帮助定义恶意网络活动，并使用这些规则来查找与其匹配的数据包并为用户生成警报。也可以在线部署 Snort 来阻止这些数据包。Snort 有三个主要用途：

• 作为 tcpdump 之类的数据包嗅探器
• 作为数据包记录器(如 TCPdump 或 Wireshark)——这对网络流量调试很有用
• 用作成熟的网络入侵防御系统

入侵预防系统模式

作为一个开源网络入侵预防系统，Snort 将监视网络流量，并将其与用户定义的 Snort 规则集进行比较——该文件将被标记为 Snort. conf，这是 Snort 最重要的功能。

Snort 对监视的流量应用规则，并在检测到网络上某些类型的可疑活动时发出警报。

它可以识别网络安全攻击方法，包括操作系统指纹识别、分布式拒绝服务攻击、缓冲区溢出、通用网关接口攻击、隐形端口扫描和服务器消息阻塞探测。

当 Snort 检测到可疑行为时，它充当防火墙，并向 Syslog 发送实时警报，或发送到单独的警报文件，或通过弹出窗口发送。

数据包记录器和嗅探器模式

如果订阅者将 Snort 配置为作为嗅探器运行，它将扫描网络数据包并识别它们，Snort 还可以将这些数据包记录到磁盘文件中。

要使用 Snort 作为数据包嗅探器，用户需要将主机的网络接口设置为混杂模式，以监视本地网络接口上的所有网络流量。然后，它将监控的流量写入其控制台。

通过将所需的网络流量写入磁盘文件，Snort 记录数据包。

---

少年，没看够？点击石头的详情介绍，随便点点看看，说不定有惊喜呢？欢迎支持点赞/关注/评论，有你们的支持是我更文最大的动力，多谢啦！