入侵检测snort功能概述
1. 数据包嗅探与日志记录
-
网络流量监控:实时捕获和分析网络数据包(支持以太网、无线等)。
-
日志记录:将数据包以二进制格式(pcap)或文本格式存储,供后续分析。
2. 协议分析与解码
-
深度协议解析:支持多种协议(如TCP/UDP/ICMP、HTTP、FTP、DNS、SMTP等),识别异常字段或违规内容。
-
应用层检测:分析HTTP URI、请求头、邮件附件等应用层数据。
3. 入侵检测(IDS)
-
规则匹配引擎:基于预定义或自定义规则检测攻击行为(如SQL注入、缓冲区溢出、端口扫描等)。
-
规则类型:
-
Header Rules:检查IP、端口、协议头等。
-
Payload Rules:匹配数据包内容(如恶意字符串、正则表达式)。
-
阈值规则:防止警报泛滥(如
threshold: track by_src, count 5, seconds 60)。
-
-
-
预定义规则集:可从社区(如Emerging Threats、Snort官方规则)下载更新。
4. 告警与响应
-
多种警报模式:
-
控制台实时输出、Syslog、数据库(MySQL/PostgreSQL)记录、邮件/短信通知。
-
-
响应动作:
-
被动告警(IDS模式)或主动阻断(IPS模式需结合
inline模式或防火墙联动)。
-
5. 预处理器与高级检测
-
预处理插件:
-
Frag3:IP分片重组,防御IP分片攻击。
-
Stream5:TCP流重组,对抗逃避技术(如会话分割)。
-
HTTP Inspect:规范化HTTP流量,检测规避手法。
-
SSL/TLS解密(需配置密钥)。
-
-
异常检测:识别协议异常(如畸形的DNS查询)、流量洪水(DDoS)。
6. 自定义与扩展性
-
规则自定义:用户可编写规则(如
alert tcp any any -> 192.168.1.0/24 80 (content:"/etc/passwd"; msg:"ETC_PASSWD Access";)。 -
插件支持:通过动态模块扩展功能(如GeoIP定位、恶意文件检测)。
-
输出模块:支持UNIX Socket、XML、CSV等格式。
