Snort的特点
　　Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力，能够进行协议分析，对内容搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时警报。此外，Snort具有很好的扩展性和可移植性。
　　还有，这个软件遵循公用许可GPL，所以只要遵守GPL任何组织和个人都可以自由使用。
　　Snort是一个轻量级的入侵检测系统
　　1.Snort虽然功能强大，但是其代码极为简洁，短小，其源代码压缩包只有200KB不到。Snort可移植性非常好。Snort的跨平台性能较好，目前已经支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等。
　　
　　Snort的功能非常强大
　　2.Snort具有实时流量分析和日志Ip网数据包的能力。能够快速地检测网络攻击，及时地发出警报。Snort的警报机制很丰富。
　　例如：Syslog,用户指定文件，UnixSocket，还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件，Snort可以使用SNML(简单网络标记语言.simple network markup language)把日志存放在一个文件或者适时警报。
　　3.Snort能够进行协议分析，内容的搜索/匹配。现在Snort能够分析的协议有TCP,UDP和ICMP。将来的版本，将提供对ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出，CGI攻击，SMB检测，探测操作系统质问特征的企图等等。
　　4.Snort的日至格式既可以是Tcpdump的二进制格式，也可以编码成ASCII字符形式，更便于拥护尤其是新手检查，使用数据库输出插件，Snort可以把日志记入数据库，当前支持的数据库包括:Postagresql,MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。
　　5.使用TCP流插件（TCPSTREAM），Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有一个字节的数据包，完全可以避开Snort的模式匹配。而被攻击的主机的TCP西医栈会重组这些数据，将其发送给目标端口上监听的进程，从而使攻击包逃过Snort的监视。使用TCP流插件，可以对TCP包进行缓冲，然后进行匹配，使Snort具备对付上面攻击的能力。
　　6.使用Spade(Statistical Packet Anomaly Detection Engine)插件，Snort能够报告非正常的可以包，从而对端口扫描进行有效的检测。
　　7.Snort还有很强的系统防护能力。如:是用其IPTables,IPFilter插件可以使入侵检测主机与防火墙联动，通过FlexResp功能，Snort能够命令防火墙主动短开恶意连接。
　　8.扩展性能较好，对于新的攻击威胁反应迅速。
　　作为一个轻量级的网络入侵检测系统，Snort有足够的扩展能力。它使用一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言)。最基本的规则知识包含四个域：处理动作，协议，方向，端口。
　　例如 Log Tcp Any any -> 10.1.1.0/24 80(谁都看得明白)
　　9.Snort支持插件，可以使用具有特定功能的报告，检测子系统插件对其功能进行扩展。Snort当前支持的插件包括:数据库日志输出插件，破碎数据包检测插件，断口扫描检测插件，HTTP URI插件，XML网页生成等插件。
　　10.Snort的规则语言非常简单，能够对新的网络攻击做出很快的反应。发现新攻击后，可以很快地根据Bugtrag邮件列表，找到特征码，写出新的规则文件。
　　总之，对于世界上各安全组织来讲，Snort入侵检测都是一个优秀入侵检测系统的一个标准的标准。通过研究它，我们可以学到到所有入侵检测系统的内部框架及工作流程(也包括同类型的商业入侵检测系统的框架及工作流程)。
　　7．2 Snort系统各程序模块代码分析
　　
　　系统架构分析Snort主工作流函数为SnortMain()流程大体如下：
　　
　　相关函数解释：
　　1) 命令行参数解析函数ParseCmdLine()，解析个中命令参数，并将其放入全局PV类型的变量PV中。数据类型PV包含各种标示字段，用来知识个中系统的参数设置。
　　例如：规则文件，系统运行模式，显示模式，插件激活等。
　　2）检测引擎初始化fpInitDetectinEngine(),用于制定快速规则匹配模块的配置参数，包括模式搜索算法等(Snort可使用的算法有Aho-Corasick , Wu-Manber , Boyer-Moore 等算法,缺省Snort使用Byer-More算法。)。并负责在协议解析过程中产生警报信息。
　　3）取得从网络截取到的数据流的主要进程OpenPcap()。起主要作用是根据命令行参数分析结果，分别调用Libpcap函数库Pcap_open_live()—通过网卡驱动实时截取网络数据 和 Pcap_open_offline()—通过文件来访问以前网卡驱动截取数据保存成为的文件，并获得相对应的数据包数据结构。
　　4）各种插件初始化主要包括输入/输出插件初始化，检测插件初始化和预处理插件初始化等。主要就是将各种插件的关键字与对应的初始化处理函数相调用，然后注册到对应的关键字链表结构中，随后逐个弹出以便规则解析模块使用。
　　例如：预处理模块插件. 链表结构PreprocessKeyWordList定义如下：
　　typedef struct_preprocessKeywordNode
　　{
　　char *keyword;
　　void(*func)(u_char*);
　　}PreprocessKeywordNode;
　　typedef struct_preprocessKeywordList
　　{
　　PreprocessNode entry;
　　Struct_PreprocessKeywordList *next;
　　}PreprocessKeywordlist;
　　预处理插件的初始化函数 void (*func)(u_char *)并非插件的直接工作模块，而是由规则解释模块负责调用，然后将对应的插件处理模块连接到预处理工作数据链表结构中。
　　预处理工作函数链表结构PreprocessFuncNode定义如下：
　　typedef struct_PreprocessFuncNode
　　{
　　void (*func)(Packet *);
　　struct_PreprocessFuncNode *next;
　　} PreprocessFuncNode;
　　函数void (*func)(Packet *)才是真正进行预处理的工作模块，将被检测模块Preprocess() 在遍历预处理插件链表时调用。
　　4）规则结构初始化和解析
　　CreateDefaultRules()负责进行初始的规则结果建设。
　　我们学习到的规则链表模型结构多是多个二维链表结构(前面描述过)。而Snort是新三维链表结构形式，涉及到关键数据结构RuleListNode如下：
　　typedef struct_RuleListNode
　　{
　　ListHead *RuList; /* The rule list associated with this node*/
　　int mode; /* The rule mode */
　　int rval; /* 0—no detection , 1 –detection event */
　　int evalIndex ; /* eval index for this rule set */
　　char *name; /* Name of this rule list */
　　struct_RuleListNode Next; /* Rhe next RuleListNode */
　　} RuleListNode;
　　
　　数据结构RuleListNode链表代表了系统支持的规则类型，包括Alert,Log,Pass,Activate,Dynamic。每链表节电又通过ListHead结构类型字段RuleList指向下面的规则链表。
　　第二层数据结构ListHead,定义如下：
　　typedef struct_ListHead
　　{
　　RuleTreeNode *IpList;
　　RuleTreeNode *TcpList;
　　RuleTreeNode *UdpList;
　　RuleTreeNode *IcmpList;
　　Struct_OutputFuncNode *LogList;
　　Struct_OutputFuncNode *AlertList;
　　Struct_RuleListNode *ruleListNode;
　　} ListHead;
　　数据结构ListHead中若干字段IpList , TcpList , UdpList , IcmpList等又分别指向各协议类型划分的规则链表，同时，可能有一个回指针去对应RuleListNode节点。
　　最基础的数据结构包括RuleTreeNode和OptTreeNode,分别代表最基本的规则链表头和规则节点，并分别定义。
　　应用这个链表来解决实例问题并说明此链表结构与工作过程.
　　函数CreatDefaultRules()此时并没有执行规则解析的任务，只是负责上层规则构架，代码如下：
　　ListHead Alert; /*Alert Block Header*/
　　ListHead Log; /*Log Block Header*/
　　ListHead Pass; /*Pass Blok Header*/
　　ListHead Activation; /*Activation Block Header*/
　　ListHead Dynamic; /*Dynamic Block Header*/
　　Void CreateDefaultRules()
　　{
　　CreateRuleType(“activation”,RULE_ACTIVATE,1,&Activation);
　　CreateRuleType(“dynamic”,RULE_DYNAMIC,1,&Dynamic);
　　CreateRuleType(“alert”,RULE_ALERT,1,&Alert);
　　CreateRuleType(“Pass”,RULE_PASS,0,&Pass);
　　CreateRuleType(“log”,RULE_LOG,1,&Log); }
　　
　　链表头动作（5种）：
　　
　　说明：以上举的两个例子一个是对WEB服务的CGI攻击，另一个是telnet攻击。还有很多应用层上的攻击，就不举例了。其中字符：Flow: 链接到检测插件。
　　Content: 用特定算法检查的字符串。
　　5)规则优化及快速匹配模块是Snort2.0版本中引入的最重要的组件。在SnortMain()函数中，主要涉及调用了建立和初始化规则优化和快速匹配数据结构的类型。包含有2个主要函数：OtnXMatchInfoInitialize(),fpCreateFastPacketDetection()
　　OtnXMatchInfoInitialize()主要是对数据类型OTNX_MATCH_DATA数据结构类型的全局变量omd,为它而申请空间。OTNX_MATCH_DATA数据结构中包括快速匹配时所需要的重要信息。而fpCreateFastPacketDetection()是建立快速匹配引擎的主要接口函数，严厉是读入有规则解析模块建立的规则链表中的所有规则链表头(上图所显示的RuleTreeNode类型)和规则选项节点（OptTreeNode类型），一边快速匹配之用。
　　6）数据包处理模块InterfaceThread()。
　　InterfaceThread()中功能简单，主要调用Libpcap库函数Pcap_loop()。Libpcap 库函数Pcap_loop()的接口函数，

文章转载地址：http://www.cnpaf.net/Class/hack/061011104921772617.html