网络安全 频道

Linux护卫者 Snort的IDS功能全攻略

    Snort的创始人Marty Roesch把Snort定位为轻量级的入侵检测系统。无论对小的家庭用户还是繁忙的公司网络,Snort都有能力实时分析和记录IP数据包,其基于规则的检测引擎能够检测多种变种攻击,包括CGI扫描、缓存区溢出攻击、SMB探测等。还能为确定网络中一些莫名其妙的服务都是做什么的提供帮助。使Snort能运行在众多的硬件平台和操作系统上。因为其可扩展的体系结构和开放源码的发布模式,使Snort成为入侵检测软件中非常流行的选择。经常有已经花费了数千美元购买入侵检测系统的管理员还使用Snort来填补网络中的一些缺口。从本质上说,Snort是网络数据包嗅探器。只要运行Snort时不加载规则,就可以把网络中的数据包显示出来。

    但是Snort的真正价值在于把数据包经过规则处理的过程。Snort灵活的和强大的语言能对网络中的所有数据包作充分的分析,并决定如何处理任何特殊的数据包。Snort可以选择的方式有忽略、记录或告警管理员。Snort有很多种记录或告警的方法,例如syslog、写入文件、写入XML格式文件、发送WinPopup消息等。当有了新的攻击手段时,只要简单加入新的规则就可以升级Snort。

    除了它的功能外,Snort最受重视的特性是其灵活的攻击特征子系统。Snort有一个可以通过互联网来添加和不断更新的攻击数据库。用户可以根据新网络攻击来创建其特征,并提交到Snort特征邮件列表中(位于http://www.snort.org/lists.html),因此,所有的Snort用户都可以从中受益。这种社区共享精神使Snort成为最新最强健的且基于网络的IDS。Snort的组成结构如图1所示。

   

 图1 Snort 的组成结

0
相关文章