What is Snort
Reference:https://snort.org/
Snort 是世界最顶尖的开源入侵检测系统
Snort IDS 利用一系列的规则去定义恶意网络活动,against 匹配到的报文并给用户告警
Snort 主要用法,第一种类似 TCP dump,作为网络 sniffer 使用,调试网络流量,第二种用于特征识别的网络入侵检测
线上 Snort 规则一种是免费的社区规则,一种是付费的订阅(Cisco Talos)
Architecture
解码器:将捕获的数据包解码后存放到 snort 定义的结构体中(./decode.h sturct Packet),目前支持的协议有 IP,TCP,UDP 等
预处理器:基于插件形式,对数据包进行修改,包括分片重组,分段重组,端口扫描预处理器
检测引擎:规则建立(多维链表)+规则匹配包括数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl 等;规则本身相关一些说明选项,比如:reference、sid、classtype、priority 等;规则匹配后的动作选项,比如:msg、resp、react、session、logto、tag 等;选项是对某些选项的修饰,比如从属于 content 的 nocase、offset、depth、regex 等
规则相关
报警输出:将检测引擎处理后的数据包送到系统日志文件或产生告警。日志文件可以是 ascii 格式或者 tcpdump 的二进制格式或到数据库中,当然有输出模块也是以插件形式,用户可定制按需定制
Rule Config
snort 的规则是采用多维链表的形式进行存储,各个维度包括 action,protocol,五元组,option:
//5种动作分类typedef struct _RuleListNode{ListHead *RuleList; /* 指向ListHead结点*/int mode; /* 规则链结点类型*/int rval; /*标记位*/int evalIndex; /* 规则编号*/char *name; /* 规则链名*/struct _RuleListNode *next; /*下一个规则链结点*/} RuleListNode;
复制代码
//4种协议typedef struct _ListHead{RuleTreeNode *IpList; /*指向IP规则树结点*/RuleTreeNode *TcpList; /*指向IP规则树结点*/RuleTreeNode *UdpList; /*指向IP规则树结点*/RuleTreeNode *IcmpList; /*指向IP规则树结点*/} ListHead;
复制代码
//五元组+上下行typedef struct_RuleTreeNode/*攻击特证树结点*/{int head_node_number;int type;u_long sip;/*源IP地址*/u_long smask;/*源子网掩码*/u_long dip;/*目的IP地址*/u_long dmask;/*目的子网掩码*/u_short hsp;/*源端口号结束值*/u_short lsp;/*源端口号起始值*/u_short hdp;/*目的端口号结束值*/u_short ldp;/*目的端口号起始值*/u_int32_t flags; /*流向记录*/struct_RuleTreeNode*right;/*指向下一攻击特征*/OptTreeNode*down;/*指向描述这条攻击特征的选项链*/}RuleTreeNode;
复制代码
typedef struct_OptTreeNode /*特征选项结点*/{OptFpList opt_func;/*检测函数*/Void*ds_list;/*在系统中增加插件时需增加的各类数据指针*/int chain_node_number;/*选项结点个数*/int type;/*告警类型,alert,log,or pass*/…;char*message;/*告警信息*/struct_OptTreeNode*next;/*指向下一选项结点*/struct_RuleTreeNode*rtn ;/*指向规则头结点RTN*/}OptTreeNode;
复制代码
Rule Match
snort2.9 版本中用到了单模算法和多模算法,其中一个典型的接口如下:int mSearch(const char *, int, const char *, int, int *, int *),用以匹配特定字段;
/** Pattern Matching Methods*///#define MPSE_MWM 1#define MPSE_AC 2//#define MPSE_KTBM 3#define MPSE_LOWMEM 4 //---------- 利用Trie树//#define MPSE_AUTO 5#define MPSE_ACF 6#define MPSE_ACS 7#define MPSE_ACB 8#define MPSE_ACSB 9#define MPSE_AC_BNFA 10 //----------- 基于NFA状态机的AC算法#define MPSE_AC_BNFA_Q 11 //----------- 基于NFA状态机的AC算法#define MPSE_ACF_Q 12#define MPSE_LOWMEM_Q 13 //----------- 利用Trie树
#ifdef INTEL_SOFT_CPM#define MPSE_INTEL_CPM 14 //----------- intel硬件加速#endif /* INTEL_SOFT_CPM */报警输出
复制代码
Code Structure
(1)规则处理模块
rules.h定义了生成二维规则链表的各种类型变量的数据结构。parser.c(h)规则解析。detect.c(h)处理规则部信息,构造规则链表。pcrm.c(h)构造快速匹配的规则链表的辅助函数。fpcreate.c(h)构造快速匹配的规则链表。fpdetect.c(h)用于快速规则匹配检测。
复制代码
(2)预处理插件模块
保存在\preprocessors子目录中的文件。实现http解码、数据包分片检查和端口扫描检测等。
复制代码
(3)处理插件模块
保存在\detection-plugins子目录中的文件。实现不同类型的检测规则。可以很容易的从文件名得知所实现的规则,例如:spdsizecheck.c针对的是包的数据大小,sp_icmp_type_check.c针对的是ICMP包的类型,sp_tcp_flag_check.c针对的是TCP包的标志位,还有规则选项的模式匹配文件spalem_match.c等等。
复制代码
(4)输出插件模块
保存在\output-plugins子目录中的文件。实现输出规则,以不同的方式记录事件。例如:yslog,tcpdump等
复制代码
(5)日志模块
(6)辅助模块
ubiBinTree.c(h)实现一个简单的二叉树。 ubi_SplayTree.c(h)实现了一个伸展的二叉树和相关的功能。 tag.c(h)实现与tag有关的高级日志操作。 vmstring.c(h)实现字符串匹配Boyer-Moore算法。
strlcatu.c(h)文件只有一个函数strlcat(dst,src,siz),实现把src字符串追加到dst的后面,siz用来限定dst的最终长度。 strlcpyu.c(h)文件只有一个函数strlcpy(dst,src,siz),实现把src字符串拷贝到dst,siz用来限定复制的长度。 snprintf.c(h)定义了一些增强的输出函数,由configure决定是否使用。 codes.c(h)定义了unicode_entry结构以及unicode_entry类型的数组。unicode_data,该数组包含了建立unicode与ASCII码之间的映射所需的数据。
debug.c(h)定义了debug的级别和GetDebugLevel函数获取相应得Debug级别,DebugMessageFunc函数确认Debug参数变量的格式化输出
复制代码
Reference
Network Intrusion Detection & Prevention System
snort源码分析之一:规则模块_wenze123的博客-CSDN博客
[1]刘红阳. 基于Snort的工业控制系统入侵检测系统设计[D].北方工业大学,2019.
评论