1.簡介
在網絡日益普及的今天,網絡安全變的越來越重要,作為網絡安全的一個重要組成部分網絡入侵檢測系統(Network Intrusion Detection System,NIDS)也越來越顯示出其重要性。NIDS用來監視網絡數據流動情況,當入侵發生時能夠提供報警。現在已經出現了很多商業的NIDS,但是它們大多比較復雜,比較難以掌握,而且比較昂貴,比較小的公司無法承受。本文將介紹一個出色的免費NIDS系統---snort,它基于GPL,作者是Martin Roesch。最新版本是1.70版。本文將介紹snort的技術特點及如何使用snort作為NIDS。
2.SNORT的特點
snort是一個強大的輕量級的網絡入侵檢測系統。它具有實時數據流量分析和日志IP網絡數據包的能力,能夠進行協議分析,對內容進行搜索/匹配。它能夠檢測各種不同的攻擊方式,對攻擊進行實時報警。此外,snort具有很好的擴展性和可移植性。還有,這個軟件遵循通用公共許可證GPL,所以只要遵守GPL任何組織和個人都可以自由使用。
snort是一個輕量級的入侵檢測系統
snort雖然功能強大,但是其代碼極為簡潔、短小,其源代碼壓縮包只有大約110KB。
snort的可移植性很好
snort的跨平臺性能極佳,目前已經支持Linux,Solaris,BSD,IRIX,HP-UX,WinY2K等系統。
snort的功能非常強大
snort具有實時流量分析和日志IP網絡數據包的能力。能夠快速地檢測網絡攻擊,及時地發出報警。snort的報警機制很豐富,例如:syslog、用戶指定的文件、一個UNIX套接字,還有使用SAMBA協議向Windows客戶程序發出WinPopup消息。利用XML插件,snort可以使用SNML(簡單網絡標記語言,simple network markup language)把日志存放到一個文件或者適時報警。
snort能夠進行協議分析,內容的搜索/匹配。現在snort能夠分析的協議有TCP、UDP和ICMP。將來,可能提供對ARP、ICRP、GRE、OSPF、RIP、IPX等協議的支持。它能夠檢測多種方式的攻擊和探測,例如:緩沖區溢出、秘密端口掃描、CGI攻擊、SMB探測、探測操作系統指紋特征的企圖等等。
snort的日志格式既可以是tcpdump式的二進制格式,也可以解碼成ASCII字符形式,更加便于用戶尤其是新手檢查。使用數據庫輸出插件,snort可以把日志記入數據庫,當前支持的數據庫包括:Postgresql、MySQL、任何unixODBC數據庫,還有Oracle(對Oracle的支持目前處于測試階段)。
使用TCP流插件(tcpstream),snort可以對TCP包進行重組。snort能夠對IP包的內容進行匹配,但是對于TCP攻擊,如果攻擊者使用一個程序,每次發送只有一個字節的TCP包,完全可以避開snort的模式匹配。而被攻擊的主機的TCP協議棧會重組這些數據,將其送給在目標端口上監聽的進程,從而使攻擊包逃過snort的監視。使用TCP流插件,可以對TCP包進行緩沖,然后進行匹配,使snort具備了對付上面這種攻擊的能力。
使用spade(Statistical Packet Anomaly Detection Engine)插件,snort能夠報告非正常的可疑包,從而對端口掃描進行有效的檢測。
snort還有很強的系統防護能力。使用FlexResp功能,snort能夠主動斷開惡意連接。
擴展性能較好,對于新的攻擊威脅反應迅速
作為一個輕量級的網絡入侵檢測系統,snort有足夠的擴展能力。它使用一種簡單的規則描述語言。最基本的規則只是包含四個個域:處理動作、協議、方向、注意的端口。例如:
log tcp any any -> 10.1.1.0/24 79 。
還有一些功能選項可以組合使用,實現更為復雜的功能。將有一篇單獨的文章討論如何寫snort規則。用戶可以從http://www.snort.org得到其規則集。另外,著名的黑客Max Vision在http://www.whitehats.com提供在線的技術支持。
snort支持插件,可以使用具有特定功能的報告、檢測子系統插件對其功能進行擴展。snort當前支持的插件包括:數據庫日志輸出插件、碎數據包檢測插件、端口掃描檢測插件、HTTP URI normalization插件、XML插件等。
snort的規則語言非常簡單,能夠對新的網絡攻擊做出很快的反應。發現新的攻擊后,可以很快根據Bugtraq郵件列表,找出特征碼,寫出檢測規則。因為其規則語言簡單,所以很容易上手,節省人員的培訓費用。
遵循公共通用許可證GPL
snort遵循GPL,所以任何企業、個人、組織都可以免費使用它作為自己的NIDS。
3.安裝
如何獲得snort
可以從snort的站點http://www.snort.org獲得其源代碼或者RPM包。使用源代碼安裝snort需要libpcap庫,可以從ftp://ftp.ee.lbl.gov下載,
安裝snort
RPM包,可以使用下面的命令進行安裝:
bash#rpm -ihv --nodeps snort-1.7-1.i386.rpm
源代碼:
解壓libpcap包:
bash#uncompress libpcap.tar.Z
bash#tar xvf libpcap.tar
編譯libpcap庫:
bash#./configure
bash#make
解壓snort-1.7.0.tar.gz
bash#tar zxvf snort-1.7.0.tar.gz
進入到其所在目錄,編譯snort:
bash# ./configure --with-libpcap-includes=/path/to/your/libcap/headers
bash# make
bash# make install
configure腳本還有一些選項:
--enable-smbalerts編譯SMB報警代碼;
--enable-flexresp編譯Flexible Response代碼;
--with-mysql=DIR支持mysql數據庫;
--with-postgresql=DIR支持postsql數據庫;
--with-odbc=DIR支持ODBC數據庫;
--enable-openssl支持SSL。
可以根據自己的實際情況選擇這些選項。
4.使用
現在,snort已經安裝完成。我們將在這一節討論如何使用snort。作為一個網絡入侵檢測的軟件,snort有三種用途:數據包嗅探器(packet sniffer)、數據包分析器(packet analyser)以及網絡入侵檢測系統。讓我們從最簡單的命令開始,輸入一個簡單的命令列出所有的命令行開關。
bash# snort -?
-*> Snort! <*-
Version 1.7
By Martin Roesch (roesch@clark.net, www.snort.org)
USAGE: snort [-options]
Options:
-A 設置報警模式:
fast、full、none(只是使用報警文件)、
unsock(使用UNIX套接字記入日志,出于測試階段)
-a 顯示ARP(Address Resolution Protocol,地址解析協議)包
-b 日志文件使用tcpdump格式(更快)
-c 使用規則文件rules
-C 只使用字符方式打印負載信息(不使用hex方式)
-d 復制應用層
-D 在后臺運行snort(精靈狀態)
-e 顯示第二層(數據鏈路層)包頭信息
-F Read BPF filters from file
-g 初始化完成后,使snort的gid為gname
-h Home網絡為hn
-i 在接口if上監聽
-I 把界面名加入到報警輸出界面。
-l 設置目錄ld為日志目錄
-M
把SMB消息發送到文件wrkst列出的工作站中
(Requires smbclient to be in PATH)
-n 收到cnt個包后退出
-N 關閉日志功能(警報功能仍然有效)
-o 把規則測試順序修改為:Pass|Alert|Log
-O 打亂被日志的IP地址
-p 關閉混雜嗅探模式
-P 設置復制的包的長度為snaplen(默認: 1514)
-q 安靜模式。不輸出banner和狀態報告。
-r 讀取并處理tcpdump文件tf(回放功能)
-s 把所有警告信息記入syslog
-S 設置規則文件中的n的值等于v的值
-t
初始化完成后Chroot到dir目錄
-u 初始化完成后,把snort的uid設置為uname
-v 設置冗余模式
-V 顯示版本號
-X 從鏈路層開始復制包的數據
-? 顯示幫助信息
<包過濾選項>基于BPF,可參考TCPDump
作為嗅探器
所謂的嗅探器模式就是snort從網絡上讀出數據包然后顯示在你的控制臺上。首先,我們從最基本的用法入手。如果你只要把TCP/IP包頭信息打印在屏幕上,只需要輸入下面的命令:
./snort -v
使用這個命令將使snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果你要看到應用層的數據,可以使用:
./snort -vd
這條命令使snort在輸出包頭信息的同時顯示包的數據信息。如果你還要顯示數據鏈路層的信息,就使用下面的命令:
./snort -vde
注意這些選項開關還可以分開寫或者任意結合在一塊。例如:下面的命令就和上面最后的一條命令等價:
./snort -d -v -e
記錄數據包
如果要把所有的包記錄到硬盤上,你需要指定一個日志目錄,snort就會自動對數據包進行日志:
./snort -dev -l ./log
當然,./log目錄必須存在,否則snort就會報告錯誤信息并退出。當snort在這種模式下運行,它會日志所有看到的包將其放到一個目錄中,這個目錄以數據包目的主機的IP地址命名,例如1192.168.10.1
如果你只指定了-l命令開關,而沒有設置目錄名,snort有時會使用遠程主機的IP地址作為目錄,有時會使用本地主機IP地址作為目錄名。為了只對本地網絡進行日志,你需要給出home net:
./snort -dev -l ./log -h 192.168.1.0/24
這個命令告訴snort把進入C類網絡192.168.1的所有包的數據鏈路、TCP/IP以及應用層的數據記錄到目錄./log中。
如果你的網絡速度很快,或者你想使日志更加緊湊以便以后的分析,那么應該使用二進制的日志文件格式。所謂的二進制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包日志到一個單一的二進制文件中:
./snort -l ./log -b
注意此處的命令行和上面的有很大的不同。我們勿需指定home network,因為所有的東西都被記錄到一個單一的文件。你也不必冗余模式或者使用-d、-e功能選項,因為數據包中的所有內容都會被記錄到日志文件中。
你可以使用任何支持tcpdump二進制格式的嗅探器程序從這個文件中讀出數據包,例如:tcpdump或者Ethereal。使用-r功能開關,也能使snort讀出包的數據。snort在所有運行模式下都能夠處理tcpdump格式的文件。例如:如果你想在嗅探器模式下把一個tcpdump格式的二進制文件中的包打印到屏幕上,可以輸入下面的命令:
./snort -dv -r packet.log
在日志包和入侵檢測模式下,通過BPF(BSD Packet Filter)接口,你可以使用許多方式維護日志文件中的數據。例如,你只想從日志文件中提取ICMP包,只需要輸入下面的命令行:
./snort -dvr packet.log icmp
作為入侵檢測系統
snort最重要的用途還是作為網絡入侵檢測系統(NIDS),使用下面命令行可以啟動這種模式:
./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
snort.conf是規則集文件。snort會對每個包和規則集進行匹配,發現這樣的包就采取相應的行動。如果你不指定輸出目錄,snort就輸出到/var/log/snort目錄。
注意:如果你想長期使用snort作為自己的入侵檢測系統,最好不要使用-v選項。因為使用這個選項,使snort向屏幕上輸出一些信息,會大大降低snort的處理速度,從而在向顯示器輸出的過程中丟棄一些包。
此外,在絕大多數情況下,也沒有必要記錄數據鏈路層的包頭,所以-e選項也可以不用:
./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf
這是使用snort作為網絡入侵檢測系統最基本的形式,日志符合規則的包,以ASCII形式保存在有層次的目錄結構中。
網絡入侵檢測模式下的輸出選項
在NIDS模式下,有很多的方式來配置snort的輸出。在默認情況下,snort以ASCII格式記錄日志,使用full報警機制。如果使用full報警機制,snort會在包頭之后打印報警消息。如果你不需要日志包,可以使用-N選項。
snort有6種報警機制:full、fast、socket、syslog、smb(winpopup)和none。其中有4個可以在命令行狀態下使用-A選項設置。這4個是:
-A fast:報警信息包括:一個時間戳(timestamp)、報警消息、源/目的IP地址和端口。
-A full:是默認的報警模式
-A unsock:把報警發送到一個UNIX套接字,需要有一個程序進行監聽,這樣可以實現適時的報警
-A none:關閉報警機制
使用-s選項可以使snort把報警消息發送到syslog,默認的設備是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。
snort還可以使用SMB報警機制,通過SAMBA把報警消息發送到Windows主機。為了使用這個報警機制,在運行./configure腳本時,必須使用--enable-smbalerts選項。
下面是一些輸出配置的例子:
使用默認的日志方式(以解碼的ASCII格式)并且把報警發給syslog:./snort -c snort.conf -l ./log -s -h 192.168.1.0/24
使用二進制日志格式和SMB報警機制:./snort -c snort.conf -b -M WORKSTATIONS
snort規則簡介
snort最重要的用途是作為網絡入侵檢測系統,它有自己的規則語言。從語法上看,這種規則語言非常簡單,但是對于入侵檢測來說它足夠強大。對于匹配特定規則的數據包,snort有三種處理動作:pass、log、alert。
pass:放行數據包
log:把數據包記錄到日志文件
alert:產生報警消息并日志數據包
snort的每條規則都可以分成邏輯上的兩個部分:規則頭和規則選項。規則頭包括:規則行動(rule's action)、協議(protocol)、源/目的IP地址、子網掩碼以及源/目的端口。規則選項包含報警消息和異常包的信息(特征碼),使用這些特征碼來決定是否采取規則規定的行動。最基本的規則只是包含四個個域:處理動作、協議、方向、注意的端口。例如:
log tcp any any -> 10.1.1.0/24 79
這條規則表示:讓snort記錄從外部網絡到C類網址10.l.1所有數據包。
snort規則中還可以有規則選項(rule option),使用規則選項可以定義更為復雜的行為,實現更加強大的功能。下面是一條含有規則選項的規則(注意整個規則應該在一行,是出于版面的原因才分成兩行):
alert tcp any any -> 10.1.1.0/24 80 (content:
"/cgi-bin/phf";msg "PHF probe!")
這條規則用來檢測對本地網絡web服務器的PHF服務的探測,一旦檢測到這種探測數據包,snort就發出報警消息,并把整個探測包記錄到日志。
在規則中,IP地址的定義也有很大的靈活性。使用any關鍵詞表示任何IP地址或者端口。一般地,IP地址可以使用xx.xx.xx.xx/子網掩碼的形式定義,其中xx.xx.xx.xx是由.分割的四個字節的數字。注意不能使用域名方式,snort不對域名進行解析,當然是出于效率的考慮^_^。還可以使用非操作符!對IP地址和端口進行操作,這個操作符就是邏輯非的意思。對于端口,還可以使用操作符:限制端口的范圍。例如:
alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 6000:6010 (msg: "X traffic";)
這條規則使snort對于從外部網絡到內部網絡X-window服務端口的數據包發出報警。
在snort當前版本(1.7)中有23個規則選項關鍵詞,隨著snort不斷地加入對更多協議的支持以及功能的擴展,會有更多的功能選項加入其中。這些功能選項可以以任意的方式進行組合,對數據包進行分類和檢測。現在,snort支持的選項包括:msg、logto、ttl、tos、id、ipoption、fragbits、dsize、flags、seq、ack、itype、icode、icmp_id、content、content-list、offset、depth、nocase、session、rpc、resp、react。每條規則中,各規則選項之間是邏輯與的關系。只有規則中的所有測試選項(例如:ttl、tos、id、ipoption等)都為真,snort才會采取規則動作。
如何編寫規則
由于snort的規則語言語法非常簡單,所以可以對新發現的攻擊作出快速的反應,迅速開發新的snort規則。編寫新的規則,最重要的是知道新攻擊的特征碼。要得到一個新的攻擊的特征碼,一般的方法就是進行實際的測試。對一個測試網絡進行攻擊,使用snort記錄在攻擊主機和測試網絡之間的數據流。然后,對記錄的數據進行分析得到其唯一的特征碼,最后把得到的特征碼加入到規則中。我們以IMAP緩沖區溢出為例進行說明,圖8是一個假想的IMAP緩沖區溢出攻擊被記錄下的數據包:
052499-22:27:58.403313 192.168.1.4:1034 -> 192.168.1.3:143
TCP TTL:64 TOS:0x0 DF
***PA* Seq: 0x5295B44E Ack: 0x1B4F8970 Win: 0x7D78
90 90 90 90 90 90 90 90 90 90 90 90 90 90 EB 3B ...............;
5E 89 76 08 31 ED 31 C9 31 C0 88 6E 07 89 6E 0C ^.v.1.1.1..n..n.
B0 0B 89 F3 8D 6E 08 89 E9 8D 6E 0C 89 EA CD 80 .....n....n.....
31 DB 89 D8 40 CD 80 90 90 90 90 90 90 90 90 90 1...@...........
90 90 90 90 90 90 90 90 90 90 90 E8 C0 FF FF FF ................
2F 62 69 6E 2F 73 68 90 90 90 90 90 90 90 90 90 /bin/sh.........
這個攻擊的特征碼就是/bin/sh字符串及其前面的機器代碼。這實際上是一個shellcode。四用這些信息可以很快開發出一條新的規則:
alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFF FF|/bin/sh";
msg:"New IMAP Buffer Overflow detected!";)
其中的特征碼含有文本和16進制兩種形式,它們以|分割,snort運行時都被轉換為二進制形式。
總結
本文介紹了一個輕量級的入侵檢測系統snort。主要討論了其特點、如何安裝,最基本的用法,以及如何開發新的規則。snort是一個高性能的入侵檢測系統,適用于大中小型網絡,尤其適合一些無力承受大型商業入侵檢測系統高昂費用中小型公司。
附錄
軟件作者簡介:
Martin Roesch是Stanford Telecommunications Inc的一位網絡安全工程師。從Clarkson大學獲得計算機工程學士學位。他在入侵檢測系統方面有豐富的經驗,并開發了許多專業系統。他是GTE Internetworking's Global Network Infrastructures IDS的主要軟件開發工程師。他還設計開發了GTE的商業蜜罐/欺騙(所謂的蜜罐就是,網絡節點使用路由器將攻擊者引導到一個經過特殊裝備的系統上,用這個系統作為目標主機的替身)系統Sentinel。他還是Trinux Linux Security Toolkit開發組的成員。snort是他第一個開放源碼軟件。
