snort中文手册pdf版

Snort是一个基于libpcap包的网络监控软件，它的一些源代码是从著名tcpdump软件发展而来的，可以作为一个十分有效的网络入侵监测系统，但如何使用呢？为此小编特别带来了snort中文手册pdf版下载，高清格式，无水印，详细介绍了snort简介，编写snort规则，预处理程序和输出插件四大部分。网友通过snort中文手册的学习，可以详细了解到snort工作模式，能实时对流量进行分析并对网络上的IP包登录进行测试等操作，适用于网络管理员使用，欢迎免费下载收藏。

基本介绍

snort作为一个基于网络的入侵检测系统（NIDS），在基于共享网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征或者从网络活动的角度检测异常行为，进而采取入侵的告警或记录。从检测模式而言，Snort属于是误用检测，即对已知攻击的特征模式进行匹配。从本质上来说，snort是基于规则检测的入侵检测工具，即针对每一种入侵行为，都提炼出它的特征值并按照规范写成检验规则，从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配，若匹配成功，则认为该入侵行为成立。

Snort的结构由4大软件模块组成，它们分别是：

（1）数据包嗅探模块——负责监听网络数据包，对网络进行分；

（2）预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等，数据包经过预处理后才传到检测引擎；

（3）检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块；

（4）报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIXsocket、WindowsPopup（SMB）、SNMP协议的trap命令传送给日志文件，甚至可以将报警传送给第三方插件（如SnortSam），另外报警信息也可以记入SQL数据库。

snort中文手册内容简介

1、snort简介

主要介绍了snort的三种工作模式：嗅探器、数据包记录器、网络入侵检测系统以及网络入侵检测系统。

2、编写snort 规则

用大篇幅介绍了在开发snort时需要记住的原则、概念及语句。

3、预处理程序

阐述了用户和程序员能在使用snort时将模块化的插件方便地融入Snort进行扩展。

4、输出插件

讲解输出插件是在Snort的告警和记录子系统被调用时运行这方面的知识。

snort系统特色

1）Snort是一个轻量级的入侵检测系统它虽然功能强大，但是代码却极为简洁、短小，其源代码压缩包不到2兆。

2）Snort的可移植性很好

Snort的跨平台性能极佳，目前已经支持Linux，Solaris，BSD，IRIX，HP-UX，windows等系统。采用插入式检测引擎，可以作为标准的网络入侵检测系统、主机入侵检测系统使用；与Netfilter结合使用，可以作为网关IDS（Gateway IDS）等系统指纹识别工具结合使用，可以作为基于目标的IDS（Target—based IDS）。

3）Snort的功能非常强大

Snort具有实时流量分析和日志IP网络数据包的能力。能够快速地检测网络攻击，及时地发出报警。Snort的报警机制很丰富，例如：syslog、用户指定的文件、一个UNIX套接字，还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件，Snort可以使用SNML（简单网络标记语言，simple network markup language）把日志存放到一个文件或者适时报警。Snort能够进行协议分析，内容的搜索/匹配。现在Snort能够分析的协议有TCP，UDP，ICMP等。将来，可能提供对ARP、ICRP、GRE、OSPF、 RIP、IPXIPX等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。

Snort的日志格式既可以是Tcpdump式的二进制格式，也可以解码成ASCH字符形式，更加便于用户尤其是新手检查。使用数据库输出插件，Snort可以把日志记入数据库，当前支持的数据库包括： Postagresql、MySQL、oraCle、任何UNIXODBC数据库等。使用TCP流插件（TcpStream），Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有一个字节的TCP包，完全可以避开Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据，将其送给在目标端口上监听的进程，从而使攻击包逃过Snort的监视。使用TCP流插件，可以对TCP包进行缓冲，然后进行匹配，使Snort具备了对付上面这种攻击的能力。使用SPADE（Statistical Packet Anomaly Detection Engine）插件，Snort能够报告非正常的可疑包，从而对端口扫描进行有效的检测。

5）扩展性能较好，对于新的攻击威胁反应迅速

作为一个轻量级的网络入侵检测系统，Snort有足够的扩展能力。它使用一种简单的规则描述语言。最基本的规则只是包含四个域：处理动作、协议、方向、注意的端口。还有一些功能选项可以组合使用，实现更为复杂的功能。Snort支持插件，可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。Snort当前支持的插件包括：数据库日志输出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI Normalization插件、XML插件等。同时，它支持多种格式的特征码规则输入方式，如数据库、XML等。Snort的规则语言非常简单，能够对新的网络攻击做出很快的反应。发现新的攻击后，可以很快根据其特征码，写出检测规则。因为其规则语言简单，所以很容易上手，节省人员的培训费用。

6）多用途性

Snort系统不但可以作为入侵检测系统，还可以作为数据包嗅探器、数据包记录器使用。

7）遵循公共通用许可证GPL

Snort遵循GPL，所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系统。但是，Snort系统也有很大的局限性，其系统结构决定了其检测规则只能使用落后的简单模式匹配技术，适应目前不断出现的新的攻击方式的能力有限：并且它在网络数据流量很大的时候容易产生漏报和误报，这对于目前的宽带潮流是一个很大的缺点。