Snort是一个开源的、占用资源较少的多平台部署的入侵检测系统。
1.Snort前言:必须要考虑Snort自身安全。否则其检测到的数据无可信度。安全设备的自身安全是非常重要的。一旦系统遭受攻击,如DDoS攻击,与Snort争夺计算资源,造成Snort不可用。需要对Snort的应用环境进行良好的安全策略部署。
2.Snort安全加固:关闭不需要的服务/保持系统完整性(Tripwire、AIDE)/启用防火墙,保护一些端口/加密技术/实时更新
3.Snort价值:在于嗅探到的数据经过规则处理的过程。相比普通的嗅探器,Snort对于行为进行探测,基于嗅探器进行规则审查,并生成一个结果提供给网络管理员参考。简单来说,Snort是嗅探器,但不只是嗅探器。
4.Snort缺点:Snort需要其他附件配合才能完成IDS的工作。安装较为复杂。组建之间的协调运作很关键。依赖于Libpcap,因此超过百兆的网络会出现丢包等问题。
5.Snort功能:1.嗅探;2.检测;3.分析。输入流量,输出决策结果
/Bin:Snort的相关运行文件所在
/Doc:Snort的一些说明文档
/Etc:Snort的相关配置文件
/Log:Snort的日志文件
/Rules:Snort规则文件存放
6.作为一款开源入侵检测系统,可以自己编辑定义规则。其基本组成模块:
数据包嗅探器--->Snort.c Snort的主代码
预处理器插件--->Decode.c 包解码器
检测引擎及插件--->Detect.c 检测引擎
告警输出模块--->Log.c 记录引擎
7.Snort提供了许多应用接口,使用插件的动态加载可以在核心代码不用修改的情况下,可以实现特定功能。
8.Snort在网络分层模型中的位置:
9.Snort安装与配置。在虚拟机下安装EasyIDS,这是一款围绕Snort,基于CentOS部署的入侵检测系统。可以从浏览器进入该系统,实行图形化界面操作。