【正文】 檢測引擎接收預(yù)處理器及其插件穿送來的數(shù)據(jù)，然后根據(jù)一系列的規(guī)則對數(shù)據(jù)進(jìn)行檢測．如果這些規(guī)則和數(shù)據(jù)包中的數(shù)據(jù)相匹配，就將數(shù)據(jù)包傳送給報(bào)警處理器． 當(dāng)數(shù)據(jù)通過檢測引擎后， Snort 會(huì)對其數(shù)據(jù)進(jìn)行不同的處理．如果數(shù)據(jù)和檢測引擎的規(guī)則相匹配， Snort 就會(huì)觸發(fā)報(bào)警．報(bào)警 可以通過 Network 連接、 UNIX 的套接字或 Windows Popup(SMB)，甚至 SNMP 陷阱機(jī)制發(fā)送到日志文件．也可以使用 Snort 的一些附加工具來通過 Web接口顯示日志內(nèi)容，包括一些 perl、 PHP 和 Web服務(wù)器的插件等．日志可以存儲(chǔ)在文本文件中．報(bào)警和日志都可以記錄到數(shù)據(jù)庫中，如 MySQL或 Postgree等．另外， Snort報(bào)警可以通過系統(tǒng)日志工具如 SWATCH 發(fā)送電子郵件及時(shí)通知系統(tǒng)管理員，是系統(tǒng)不需要由專人 24小時(shí)監(jiān)控 [12]． Snort規(guī)則 Snort 是一個(gè)基于特征的入侵檢測 系統(tǒng)，而 Snort 正是通過大量的規(guī)則集實(shí)現(xiàn)基于特征的入侵檢測系統(tǒng)的功能．這些規(guī)則集按照不同的類別進(jìn)行分類，如木馬、緩沖區(qū)溢出、訪問不同的應(yīng)用程序等，并進(jìn)行定期的更新． 規(guī)則的組成 規(guī)則本身由兩部分組成： ⑴ 規(guī)則頭：規(guī)則頭包含了規(guī)則的基本動(dòng)作（記錄日志或是報(bào)警）、 Network數(shù)據(jù)包的類型（ TCP、 嗅探器 預(yù)處理器 檢測引擎 報(bào)警 /日志 主干網(wǎng) UDP、 ICMP等）、源和目的 IP地址．源和目的端口． ⑵ 規(guī)則可選項(xiàng)：可選項(xiàng)中指定了數(shù)據(jù)包中規(guī)則匹配的具體內(nèi)容． Snort 使用特定的語法來定義這些規(guī)則．規(guī)則的語法涵蓋了協(xié)議的類型、內(nèi)容、長度、協(xié)議頭 及很多其他元素，類如定義緩沖區(qū)溢出規(guī)則的填充字節(jié)等． 規(guī)則頭 規(guī)則頭定義了規(guī)則的行為（ Action）、所匹配 Network 包的協(xié)議、源地址、目標(biāo)地址、源端口和目標(biāo)端口等信息，其作用主要是定義 Network數(shù)據(jù)包分組中的報(bào)頭路由特征．規(guī)則頭格式如下： 規(guī)則行為 協(xié)議 源地址 源端口 方向操作符 目的地址 目的端口 ⑴ 規(guī)則行為（ Rule Action） 規(guī)則行為指示了數(shù)據(jù)包與規(guī)則匹配時(shí)該做什么，此字段有五個(gè)選項(xiàng)： alert、 log、 pass、 activate、dynamic．其語義如下： ① alert：使用設(shè)定的警告方法生成警告信息，并記錄這個(gè)報(bào)文． ② log：使用設(shè)定的記錄方法記錄這個(gè)報(bào)文． ③ pass：忽略該報(bào)文． ④ activate：進(jìn)行 alert，然后激活對應(yīng)的一個(gè) dynamic規(guī)則． ⑤ dynamic：等待被一個(gè)對應(yīng)的 activate規(guī)則激活，然后進(jìn)行 log． 其中 activate和 dynamic規(guī)則必須成對出現(xiàn)，已完成特定任務(wù)．當(dāng)某種攻擊發(fā)生后需要記錄兩個(gè)或多個(gè)包時(shí)， activate規(guī)則激活對應(yīng)的 dynamic規(guī)則記錄后繼的若干個(gè)包． ⑵ 協(xié)議字段（ Protocol）：目前 Snort主要支 持 TCP、 UDP、 ICMP 三種協(xié)議，對應(yīng)的值為 tcp、udp和 icmp． ⑶ 方向操作符（ Direction）：指示規(guī)則所適用的流量方向． ―‖表示從左端到右端的數(shù)據(jù)包，―‖反之， ―‖表示匹配雙向流量． ⑷ 地址和端口信息 地址可以是一個(gè)主機(jī)地址或者 Network地址．可以用關(guān)鍵字 any來指定所有的地址．目的地址必須用 CIDR表示法表示． CIDR表示法如下： IP地址后面用斜線來附加一個(gè)數(shù)字，表示掩碼的位數(shù)．比如 192． 168． 2． 0/24代表一個(gè) C類 Network192． 168． 2． 0，其子網(wǎng)掩碼是 255． 255． 255． 0．一些子網(wǎng)掩碼： ① 如果子網(wǎng)掩碼是 24位，它是一個(gè) C類 Network． ② 如果子網(wǎng)掩碼是 16位，它是一個(gè) B類 Network． ③ 如果子網(wǎng)掩碼是 24位，它是一個(gè) A類 Network． ④ 表示一個(gè)主機(jī)用 32位掩碼． 根據(jù) CIDR的支持，可以用任何位數(shù)的掩碼． 規(guī)則選項(xiàng) 規(guī)則選項(xiàng)則包含了所要顯示給用戶查看的警告信息以及用來判斷此數(shù)據(jù)包是否為攻擊數(shù)據(jù)包的其他信息．雖然規(guī)則選項(xiàng)對于 Snort 規(guī)則定義而言不是必需的，但實(shí)際上規(guī)則選項(xiàng)是Snort 檢測規(guī)則的核心部分，其設(shè)計(jì)將易用性和檢 測性能以及靈活性結(jié)合了起來．規(guī)則選項(xiàng)格式如下： (選項(xiàng)關(guān)鍵字 1:選項(xiàng)參數(shù) 。msg:―mountd access‖。 ……) 選項(xiàng)之間以 ―。選項(xiàng)關(guān)鍵字 2:選項(xiàng)參數(shù) 。) 上例中，括號左邊部分為規(guī)則頭，括號里面部分為規(guī)則選項(xiàng)，規(guī)則選項(xiàng)中冒號前的部分稱為選項(xiàng)關(guān)鍵字（ Option Keyword），規(guī)則選項(xiàng)并不是任何規(guī)則都必需的，它只是用來明確地定義表示的是某種攻擊、需要采取某種行為（如 警告等）．只有組成規(guī)則的各個(gè)元素都為真時(shí)才能觸發(fā)相應(yīng)的操作，規(guī)則內(nèi)部限制數(shù)據(jù)包的各元素的關(guān)系是邏輯與；同時(shí)規(guī)則庫中的各條規(guī)則之間的關(guān)系可以被認(rèn)為一個(gè)大的邏輯或，只要有一條規(guī)則被匹配，即認(rèn)為發(fā)生了入侵．規(guī)則一般被分類存放于 Snort源代碼所在目錄 */rules/*． rules文件中．當(dāng)多個(gè)元素放在一起時(shí)，可以認(rèn)為它們組成了一個(gè)邏輯與（ AND）語句．同時(shí)， snort 規(guī)則庫文件中的不同規(guī)則可以認(rèn)為組成了一個(gè)大的邏輯或（ OR）語句． 第 4章 Linux系統(tǒng)下 搭建 入侵檢測系統(tǒng) 實(shí)驗(yàn)及分析 本研究中，在 Linux 系統(tǒng) 環(huán)境下搭建了一個(gè)入侵檢測系統(tǒng) ——Snort，實(shí)現(xiàn)了基本的入侵檢測功能．在實(shí)驗(yàn)室環(huán)境下，在局域網(wǎng)中利用兩臺(tái)以上的計(jì)算機(jī)，使用其中一臺(tái)主機(jī)作為被攻擊方，即檢測方，另外的主機(jī)可對其進(jìn)行攻擊．被攻擊方可看出攻擊方的 IP 地址及數(shù)據(jù)包相關(guān)內(nèi)容，并可根據(jù)檢測結(jié)果進(jìn)行分析． 由于 Ubuntu是 Debian系的 Linux，安裝軟件非常簡單．這里使用 Ubuntu默認(rèn)命令行軟件包管理器 apt來進(jìn)行安裝．要安裝的不僅有 Snort，還有 Snort規(guī)則集． $ sudo aptget install snort snortrulesdefault 配置 Snort選項(xiàng) 接下來利用 Snort的配置文件來設(shè)置各種選項(xiàng)，以確定它的運(yùn)行方式．這個(gè)過程相對復(fù)雜，尤其要注意的是命令的輸入，有時(shí)因?yàn)橐粋€(gè)空格的缺失就要反復(fù)進(jìn)行配置． ⑴ 首先打開 Snort的主配置文件： /etc/snort/snort． conf ⑵ HOME_NET和 EXTERNAL_NET是嗅探器最主要的兩個(gè)配置變量和選項(xiàng)．在配置文件中將 HOME_NET 有關(guān)項(xiàng)注釋掉，然后將 HOME_NET 設(shè)置為本機(jī) IP 所在 Network，將EXTERNAL_NET 相關(guān)項(xiàng)注釋掉，設(shè)置其為 非本機(jī) Network．刪除 HOME_NET 行前的 ―‖，設(shè)置 HOME_NET變量． ―‖在 Snort配置文件中作命令指示器． HOME_NET變量定義了哪些 Network 是受信的內(nèi)部 Network．它與簽名共同判斷內(nèi)部 Network 是否受到攻擊． Snort． conf默認(rèn)把 HOME_NET 設(shè)為 ―var HOME_NET any‖對任意地址信任．把它精確設(shè)為實(shí)際的內(nèi)網(wǎng)地址空間將減少錯(cuò)誤告警的次數(shù)．設(shè)置代碼如下： var HOME_NET any var HOME_NET 172． 18． 148． 152/16 ⑶ 設(shè) 置 EXTERNAL_NET 變量．它指定可能發(fā)起攻擊的 Network，一般把它設(shè)為除HOME_NET 地址以外的所有地址．設(shè)置代碼如下： var EXTERNAL_NET any var EXTERNAL_NET !$HOME_NET ⑷ 定義哪些服務(wù)器上運(yùn)行了哪些服務(wù)程序．如果把 HTTP_SERVERS 設(shè)為某些服務(wù)器，則Snort 只關(guān)注對那些服務(wù)器進(jìn)行的 HTTP 攻擊．如果想了解到對某個(gè)服務(wù)器上并沒有運(yùn)行著的服務(wù)程序進(jìn)行的攻擊，就保留默認(rèn)設(shè)置，這樣可以觀察到任何對內(nèi)網(wǎng)的攻擊．也可以命令Snort只關(guān)注對某一臺(tái)或 某幾臺(tái)服務(wù)器的 HTTP攻擊．設(shè)置代碼如下： var DNS_SERVERS $HOME_NET var HTTP_SERVERS 172． 18． 148． 152/32 ⑸ 配置服務(wù)使用的端口．同前面定義服務(wù)類似，命令將使 Snort只關(guān)注對這個(gè)端口的攻擊．按照默認(rèn)配置， Snort將忽略對端口 8080的 HTTP攻擊．這樣的配置能夠使 Snort專注于不同類型攻擊類型的發(fā)生地點(diǎn)．但在最終對被攻擊方做全面保護(hù)時(shí)不開啟這個(gè)配置，這樣可以檢測出局域網(wǎng)內(nèi)對該機(jī)器進(jìn)行攻擊的主機(jī)和攻擊類型． ⑹ 在本地打開 Snort規(guī)則： snort –c/etc/snort/rules ⑺ 配置 RULE_PATH變量，指示規(guī)則的存儲(chǔ)位置，規(guī)則用于觸發(fā)事件．配置代碼如下： var RULE_PATH ．． /rules ⑻ 接下來一段內(nèi)容被注釋掉了，是對一些不常見的通信的監(jiān)測．除非系統(tǒng)中出現(xiàn)了其中的問題或者入侵檢測系統(tǒng)耗費(fèi)資源很小，否則最好不要啟用．下面一段是允許為資源有限的系統(tǒng)配置偵測引擎，在本實(shí)驗(yàn)中無需改動(dòng)．配置文件之后的幾段用于配置一些功能和設(shè)置對某些類型的攻擊的偵測，包括碎片攻擊（ fragmentation attacks）、狀態(tài)檢測（ stateful inspection）和流重組（ stream reassembly）選項(xiàng)． ⑼ 標(biāo)注有 Step 4 的段落包含 Snort 的輸出選項(xiàng)，取消 ―output alert_syslog:LOG_AUTH LOG_ALERT‖前的注釋．此處無論如何配置都會(huì)生成 auth． info警告． ⑽ 編輯 2 部分動(dòng)態(tài)加載庫的路徑，這些路徑有些需要修改默認(rèn)項(xiàng)．比如在本實(shí)驗(yàn)中，運(yùn)行Snort時(shí)遇到錯(cuò)誤，提示了 ―Unknown rule type:dynamicpreprocessor directory‖，經(jīng)查發(fā)現(xiàn)是是由于 Snort未配置使用動(dòng)態(tài)加載處理機(jī)，只需用 ―‖注釋掉加載處理機(jī)相關(guān)兩行就可以了． ⑾ 最后一段 Step 6是規(guī)則集．這里有些規(guī)則默認(rèn)為不起作用，如 chat． rules是由各種即時(shí)消息客戶端出發(fā)生效的．在行首加入或刪除注釋符號 ―‖就可以