第10章Snort入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)已經(jīng)成為了安全市場(chǎng)上新的熱點(diǎn)，不僅越來(lái)越多地受到人們的關(guān)注，而且已經(jīng)開(kāi)始在各種不同的環(huán)境中發(fā)揮著關(guān)鍵的作用。本章將介紹入侵檢測(cè)的基本概念、Snort的安裝與使用、Snort的配置，以及Snort規(guī)則的編寫(xiě)等內(nèi)容。10.1入侵檢測(cè)簡(jiǎn)介傳統(tǒng)上，企業(yè)網(wǎng)絡(luò)一般采用防火墻作為安全的第一道防線。但隨著攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)網(wǎng)絡(luò)安全的進(jìn)一步需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。入侵檢測(cè)系統(tǒng)是繼防火墻之后，保護(hù)網(wǎng)絡(luò)安全的第二道防線。它可以在網(wǎng)絡(luò)受到攻擊時(shí)，發(fā)出警報(bào)或者采取一定的干預(yù)措施，以保證網(wǎng)絡(luò)的安全。本節(jié)主要介紹網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)、網(wǎng)絡(luò)攻擊的類型、入侵檢測(cè)系統(tǒng)的組成與工作原理等內(nèi)容。10.1.1網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述10.1.2常見(jiàn)的網(wǎng)絡(luò)攻擊類型1．漏洞掃描2．密碼破解3．DoS和DDoS攻擊4．緩沖區(qū)溢出5．系統(tǒng)后門與木馬程序10.1.3入侵檢測(cè)系統(tǒng)10.2Snort的安裝與使用Snort是Linux平臺(tái)上最常用的遵循GNUGPL的入侵檢測(cè)系統(tǒng)，同時(shí)它還是一個(gè)非常優(yōu)秀的數(shù)據(jù)包抓取工具。本節(jié)將介紹Snort的功能特點(diǎn)，Snort軟件的獲取、安裝與運(yùn)行，snort命令的格式、Snort作為抓包工具時(shí)的使用方法等內(nèi)容。10.2.1Snort簡(jiǎn)介Snort概述10.2.2Snort的安裝與運(yùn)行1.Snort的安裝2.啟動(dòng)Snort服務(wù)10.2.3Snort命令的格式1.Snort的種工作模式10.2.4用Snort抓取數(shù)據(jù)包Snort命令的講解10.3配置SnortSnort最主要的功能是對(duì)入侵進(jìn)行檢測(cè)。其工作方式是對(duì)抓取的數(shù)據(jù)包進(jìn)行分析后，與特定的規(guī)則模式進(jìn)行匹配。如果能匹配，則認(rèn)為發(fā)生了入侵事件。此時(shí)，執(zhí)行snort命令時(shí)需要用-c選項(xiàng)指定入侵檢測(cè)時(shí)所使用的配置文件。當(dāng)默認(rèn)安裝Snort時(shí)，已經(jīng)在/etc/snort目錄提供了一個(gè)例子配置文件，其文件名是snort.conf。本節(jié)主要以該文件的內(nèi)容為中心，介紹一下Snort的配置方法。10.3.1定義Snort變量1.Snort命令主配置文件的位置。2.在配置文件中定義Snort變量10.3.2配置Snort選項(xiàng)Snort配置文件常用選項(xiàng)介紹10.3.3配置Snort預(yù)處理模塊1．Frag3模塊2．HTTP

Inspect模塊3．SMTP解碼器10.3.4配置Snort輸出插件配置輸出插件的作用10.3.5配置Snort規(guī)則文件配置Snort規(guī)則文件的作用10.4編寫(xiě)Snort規(guī)則前面介紹了Snort規(guī)則的獲得、配置與使用，這些規(guī)則是由各種組織或廠商提供的。有時(shí)用戶也希望能夠自己編寫(xiě)Snort規(guī)則，以便能對(duì)最新的入侵行為作出反應(yīng)。下面介紹一下有關(guān)Snort規(guī)則的編寫(xiě)方法。10.4.1Snort規(guī)則基礎(chǔ)S