写点什么

网络入侵检测系统之 Snort(一)--snort 概览

作者:于顾而言
  • 2022 年 9 月 17 日
    江苏
  • 本文字数:2469 字

    阅读完需:约 8 分钟

网络入侵检测系统之Snort(一)--snort概览

What is Snort

Reference:https://snort.org/

  1. Snort 是世界最顶尖的开源入侵检测系统

  2. Snort IDS 利用一系列的规则去定义恶意网络活动,against 匹配到的报文并给用户告警

  3. Snort 主要用法,第一种类似 TCP dump,作为网络 sniffer 使用,调试网络流量,第二种用于特征识别的网络入侵检测

  4. 线上 Snort 规则一种是免费的社区规则,一种是付费的订阅(Cisco Talos)

Architecture


  • 解码器:将捕获的数据包解码后存放到 snort 定义的结构体中(./decode.h sturct Packet),目前支持的协议有 IP,TCP,UDP 等

  • 预处理器:基于插件形式,对数据包进行修改,包括分片重组,分段重组,端口扫描预处理器

  • 检测引擎:规则建立(多维链表)+规则匹配包括数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl 等;规则本身相关一些说明选项,比如:reference、sid、classtype、priority 等;规则匹配后的动作选项,比如:msg、resp、react、session、logto、tag 等;选项是对某些选项的修饰,比如从属于 content 的 nocase、offset、depth、regex 等

  • 规则相关

  • 报警输出:将检测引擎处理后的数据包送到系统日志文件或产生告警。日志文件可以是 ascii 格式或者 tcpdump 的二进制格式或到数据库中,当然有输出模块也是以插件形式,用户可定制按需定制

Rule Config

snort 的规则是采用多维链表的形式进行存储,各个维度包括 action,protocol,五元组,option:




//5种动作分类typedef struct _RuleListNode{ListHead *RuleList; /* 指向ListHead结点*/int mode; /* 规则链结点类型*/int rval; /*标记位*/int evalIndex; /* 规则编号*/char *name; /* 规则链名*/struct _RuleListNode *next; /*下一个规则链结点*/} RuleListNode; 
复制代码



//4种协议typedef struct _ListHead{RuleTreeNode *IpList; /*指向IP规则树结点*/RuleTreeNode *TcpList; /*指向IP规则树结点*/RuleTreeNode *UdpList; /*指向IP规则树结点*/RuleTreeNode *IcmpList; /*指向IP规则树结点*/} ListHead;
复制代码



//五元组+上下行typedef struct_RuleTreeNode/*攻击特证树结点*/{int head_node_number;int type;u_long sip;/*源IP地址*/u_long smask;/*源子网掩码*/u_long dip;/*目的IP地址*/u_long dmask;/*目的子网掩码*/u_short hsp;/*源端口号结束值*/u_short lsp;/*源端口号起始值*/u_short hdp;/*目的端口号结束值*/u_short ldp;/*目的端口号起始值*/u_int32_t flags; /*流向记录*/struct_RuleTreeNode*right;/*指向下一攻击特征*/OptTreeNode*down;/*指向描述这条攻击特征的选项链*/}RuleTreeNode;
复制代码



typedef struct_OptTreeNode /*特征选项结点*/{OptFpList opt_func;/*检测函数*/Void*ds_list;/*在系统中增加插件时需增加的各类数据指针*/int chain_node_number;/*选项结点个数*/int type;/*告警类型,alert,log,or pass*/…;char*message;/*告警信息*/struct_OptTreeNode*next;/*指向下一选项结点*/struct_RuleTreeNode*rtn ;/*指向规则头结点RTN*/}OptTreeNode;
复制代码

Rule Match

snort2.9 版本中用到了单模算法和多模算法,其中一个典型的接口如下:int mSearch(const char *, int, const char *, int, int *, int *),用以匹配特定字段;

/**  Pattern Matching Methods*///#define MPSE_MWM     1#define MPSE_AC        2//#define MPSE_KTBM    3#define MPSE_LOWMEM    4   //---------- 利用Trie树//#define MPSE_AUTO    5#define MPSE_ACF       6#define MPSE_ACS       7#define MPSE_ACB       8#define MPSE_ACSB      9#define MPSE_AC_BNFA   10  //----------- 基于NFA状态机的AC算法#define MPSE_AC_BNFA_Q 11  //----------- 基于NFA状态机的AC算法#define MPSE_ACF_Q     12#define MPSE_LOWMEM_Q  13  //----------- 利用Trie树

#ifdef INTEL_SOFT_CPM#define MPSE_INTEL_CPM 14 //----------- intel硬件加速#endif /* INTEL_SOFT_CPM */报警输出
复制代码

Code Structure

(1)规则处理模块

rules.h定义了生成二维规则链表的各种类型变量的数据结构。parser.c(h)规则解析。detect.c(h)处理规则部信息,构造规则链表。pcrm.c(h)构造快速匹配的规则链表的辅助函数。fpcreate.c(h)构造快速匹配的规则链表。fpdetect.c(h)用于快速规则匹配检测。
复制代码

(2)预处理插件模块

保存在\preprocessors子目录中的文件。实现http解码、数据包分片检查和端口扫描检测等。
复制代码

(3)处理插件模块

保存在\detection-plugins子目录中的文件。实现不同类型的检测规则。可以很容易的从文件名得知所实现的规则,例如:spdsizecheck.c针对的是包的数据大小,sp_icmp_type_check.c针对的是ICMP包的类型,sp_tcp_flag_check.c针对的是TCP包的标志位,还有规则选项的模式匹配文件spalem_match.c等等。
复制代码

(4)输出插件模块

保存在\output-plugins子目录中的文件。实现输出规则,以不同的方式记录事件。例如:yslog,tcpdump等
复制代码

(5)日志模块

log.c(h)实现日志和报警功能。
复制代码

(6)辅助模块

ubiBinTree.c(h)实现一个简单的二叉树。 ubi_SplayTree.c(h)实现了一个伸展的二叉树和相关的功能。 tag.c(h)实现与tag有关的高级日志操作。 vmstring.c(h)实现字符串匹配Boyer-Moore算法。 
strlcatu.c(h)文件只有一个函数strlcat(dst,src,siz),实现把src字符串追加到dst的后面,siz用来限定dst的最终长度。 strlcpyu.c(h)文件只有一个函数strlcpy(dst,src,siz),实现把src字符串拷贝到dst,siz用来限定复制的长度。 snprintf.c(h)定义了一些增强的输出函数,由configure决定是否使用。 codes.c(h)定义了unicode_entry结构以及unicode_entry类型的数组。unicode_data,该数组包含了建立unicode与ASCII码之间的映射所需的数据。
debug.c(h)定义了debug的级别和GetDebugLevel函数获取相应得Debug级别,DebugMessageFunc函数确认Debug参数变量的格式化输出
复制代码

Reference

Network Intrusion Detection & Prevention System

snort源码分析之一:规则模块_wenze123的博客-CSDN博客

[1]刘红阳. 基于Snort的工业控制系统入侵检测系统设计[D].北方工业大学,2019.

发布于: 刚刚阅读数: 5
用户头像

于顾而言

关注

| 且将新火试新茶 × 诗酒趁年华诗酒 2022.09.10 加入

| SASE | SangFor | Senior Developer | 知乎专栏:https://www.zhihu.com/people/whisper-of-the-Koo

评论

发布
暂无评论
网络入侵检测系统之Snort(一)--snort概览_网络安全_于顾而言_InfoQ写作社区