snort入侵检测.ppt
《snort入侵检测.ppt》由会员分享,可在线阅读,更多相关《snort入侵检测.ppt(24页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Snort简介简介Snort是美国是美国Sourcefire公司开发的公司开发的IDS(Intrusion Detection System)软件。)软件。Snort是一个基于是一个基于Libpcap的轻量级入侵检测系统的轻量级入侵检测系统,所谓轻所谓轻量级有两层含义量级有两层含义 : 首先它能够方便地安装和配置在网络的首先它能够方便地安装和配置在网络的任何一个节点上任何一个节点上 , 而且不会对网络运行产生太大的影响而且不会对网络运行产生太大的影响;其其次是它应该具有跨平台操作的能力次是它应该具有跨平台操作的能力,并且管理员能够用它并且管理员能够用它在短时间内通过修改配置进行实时的安全响应。
2、在短时间内通过修改配置进行实时的安全响应。Snort简介简介snort有三种工作模式:嗅探器、数据包记录器、有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上读取数据包并作为连续不断的流显示在终端上。数据包记录器上。数据包记录器 模式把数据包记录到硬盘上。模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置网路入侵检测模式是最复杂的,而且是可配置的。我们可以让的。我们可以让snort分析网络数据流以匹配用分析网络数据流以匹配用户定义的一些规则,并根据检测结果户定义的一些规
3、则,并根据检测结果 采取一定采取一定的动作。的动作。Snort简介简介- 嗅探器嗅探器所谓的嗅探器模式就是所谓的嗅探器模式就是snort从网络上读出数据包从网络上读出数据包然后显示在你的控制台上。然后显示在你的控制台上。- 数据包记录器数据包记录器如果要把所有的包记录到硬盘上,你需要指定一如果要把所有的包记录到硬盘上,你需要指定一个日志目录,个日志目录,snort就会自动记录数据包就会自动记录数据包- 网络入侵检测系统网络入侵检测系统(NIDS)snort最重要的用途还是作为网络入侵检测系统最重要的用途还是作为网络入侵检测系统(NIDS)Snort架构架构Snort架构架构Snort由几大软件
4、模块组成由几大软件模块组成 , 这些软件模块采用插件方式这些软件模块采用插件方式与与 Snort结合结合 , 扩展起来非常方便扩展起来非常方便 , 例如有预处理器和检例如有预处理器和检测插件测插件 , 报警输出插件等报警输出插件等,开发人员也可以加入自己编写开发人员也可以加入自己编写的模块来扩展的模块来扩展 Snort的功能的功能 。Snort系统系统 由四个基本模块组成由四个基本模块组成 : 数据包嗅探器数据包嗅探器 、 预处预处理器理器 、 检测引擎和报警输出模块。检测引擎和报警输出模块。 所有这些子模块都所有这些子模块都建立在数据包截获库函数接口建立在数据包截获库函数接口Libpcap的
5、基础上。的基础上。Snort规则规则举例:举例:alert tcp any any - any any (msg:”this is test”; sid:1000001)最简单的规则:对网络中的每一条最简单的规则:对网络中的每一条TCP包输出一条警告,警告包输出一条警告,警告信息为信息为“this is a test”. sid表示规则的编号。表示规则的编号。Snort规则规则Snort规则被分成两个逻辑部分:规则头和规则规则被分成两个逻辑部分:规则头和规则选项。选项。规则头包含规则的动作,协议,源和目标规则头包含规则的动作,协议,源和目标ip地址地址与网络掩码,以及源和目标端口信息;与网络掩
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- snort 入侵 检测
限制150内