设为首页 - 加入收藏
广告 1000x90
您的当前位置:黄大仙一二三份资料 > 净荷 > 正文

type 8E是什么文件系统?

来源:未知 编辑:admin 时间:2019-08-16

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  snort 是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(

  NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量

  级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内

  通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。

  Snort作为其典型范例,首先可以运行在多种操作系统平台,例如UNIX系列和Windows 9

  X.(需要libpcap for Win32的支持),与很多商业产品相比,它对操作系统的依赖性比

  较低。其次用户可以根据自己的需要及时在短时间内调整检测策略。就检测攻击的种类

  来说,据最新数据表明(2000/12/4)snort共有21类(???)1271条检测规则,其中包括

  对缓冲区溢出,端口扫描和CGI攻击等等。SNORT集成了多种告警机制来提供实时告警功

  ws客户端告警。 Snort的现实意义维作为开源软件填补了只有商业入侵检测系统的空白

  Snort的主要用途就是网络监视、数据包的记录和检测入侵行为,下面是与分别具有上述

  Tcpdump是最为经典的嗅探工具,主要是用于记录网络数据,网络故障的探测诊断工具。

  Snort与它的最大的共同之处在于都是基于libpcap的并且支持BPF过滤机制,所以本质上

  都是调用的捕获数据包的库函数,但是snort的目的不仅仅是在于记录这个数据包而是从

  安全的角度考虑出发区解析它,并且tcpdump主要是分析第二层或者第三层的报文来进行

  网络故障诊断,而snort则主要针对于应用层的数据进行分析从而实现检测入侵行为。除

  此之外,由于tcpdump旨在快速完整地记录流量,所以它制定了特殊的输出格式,速度快

  但是不易看懂,而snort就提供了更为友好的输出格式,有利于系统管理员的直接分析。

  根据Denmac System公司1999年11月的现有商用网络入侵检测工具的调查结果表明,NFR

  国际上的IDS的最高水准,是一个比较成熟的商业产品。Snort的许多设计思想类似于NF

  R,但是在很多方面都显出不足之处,例如无法实现IP Defragmentation等功能,在探测

  规则语言的格式上来说,NFR采用的是一种深层次的脚本语言,SNORT与其相比就略显单

  薄。但是snort的优势就在于它是开源软件,全世界的爱好者都可以加入它的开发升级工

  snort作为一个NIDS[注:基于网络的入侵检测系统(NIDS),其工作原理为在基于共享

  网络上检测原始的网络传输数据,通过分析捕获的数据包,主要工作为匹配入侵行为的

  特征或者从网络活动的角度检测异常行为,进而采取入侵的预警或记录。从检测模式而

  言,snort属于是误用检测(misuse detection)。[注:该方法对已知攻击的特征模式

  进行匹配,包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析,以及对一系

  列数据包解释分析特征。]从本质上上来说,snort是基于规则检测的入侵检测工具,即

  针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规

  则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为

  该子系统的功能为捕获网络得传输数据并按照TCP/IP协议的不同层次将数据包进行解析

  。Snort利用libpcap库函数进行采集数据, 该库函数可以为应用程序提供直接从链路层

  捕获数据包的接口函数并可以设置数据包的过滤器以来捕获指定的数据。(的详细介绍

  请参阅附录N)。网络数据采集和解析机制是整个NIDS实现的基础,其中最关键的是要保

  证高速和低的丢包率,这不仅仅取决于软件的效率还同硬件的处理能力相关。对于解析

  机制来说,能够处理数据包的类型的多样性也同样非常重要,目前,snort可以处理以太

  检测引擎是一个NIDS实现的核心,准确性和快速性是衡量其性能的重要指标,前者主要

  取决于对入侵行为特征码的提炼的精确性和规则撰写的简洁实用性,由于网络入侵检测

  系统自身角色的被动性——只能被动的检测流经本网络的数据,而不能主动发送数据包

  去探测,所以只有将入侵行为的特征码归结为协议的不同字段的特征值,通过检测该特

  征值来决定入侵行为是否发生。后者主要取决于引擎的组织结构,是否能够快速地进行

  Snort采用了灵活的插件形式来组织规则库,即按照入侵行为的种类划分为相应的插件,

  每一类插件中包括了数十条的检测规则,分别代表同一类型的不同入侵行为。对于规则

  的定义,snort使用了一种简单的,轻量级的规则描述语言,上述已经提及到检测的最终

  行为就是检测数据包中协议的不同字段,例如端口号就是重要的入侵线索。为了更为清

  分析以上的这个入侵实例,我们可以看出其实检测该入侵行为的关键是判断端口号和数

  据段内容,IP地址、协议类型和TCP标志位只是辅助的特征码。但是当开始分析原始数据

  包时,是否应该就直接匹配端口和数据段的内容?无疑针对该入侵行为上述做法的匹配

  效率是最高的。但是实际上这样做会降低整体检测的效率,因为入侵系统要对庞大的网

  络数据逐一进行检测,应该遵循先检测所有入侵行为的共同特征其次才是个体特征的原

  则,例如如果首先检测IP地址,一旦发现并不属于检测范围之内,就立即检测下一个数

  据包而并非继续检测该包的其他字段。这样既保证了检测的快速性,又提高了报警的实

  Snort正是按照上述原则定义规则的,将检测规则划分成两个部分:规则头和规则选项。

  前者是所有规则共有的包括IP地址、协议类型、端口号,后者根据不同规则包括相应的

  字段关键字,例如TCP的标志位或者窗口大小等。检测规则除了包括上述的关于“要检测

  什么”还应该定义“检测到了该做什么”,snort定义了三种处理方式——alert(发送报

  警信息),log(记录该数据包)和pass(忽略该数据包)并定义为规则的第一个匹配关键

  字,这样设计的目的非常简单,旨在在程序中组织整个的规则库,即将所有的规则按照

  处理方式组织成三个链表以用于更快速准确地进行匹配,体现了设计者的巧妙之处。

  该实例正式针对表(N)中所示的入侵行为所定义的检测规则,通过该例可以看出snort

  规则动作 协议类型 IP地址 端口号 - 协议类型 IP地址 端口号 (规则选项)

  snort作为一个NIDS,主要的目的就是能够保护本网段即及时发现外部网对内部网的攻击

  ,所以规则中的IP地址的定义主要是针对外部网和内部网地址两种。由此snort引入了变

  量的机制,即可以在规则中用变量表示IP地址字段,用户在运行前可根据实际的子网地

  址来定义该变量,这样在解析检测规则时snort会自动替换变量值,增加了规则的灵活性

  为了更为准确地表达规则和精确地表示检测范围,snort还定义了三类操作符:

  用于表示snort还增加了否定符“!”来区分内部网和外部网。例如例n的!$HOME_NET。

  规则选项作为检测时的重要标准组成了snort入侵检测引擎的核心,既易用又非常灵活强

  大。首先其灵活性是指可以根据不同的不同行为制定相应的检测选项内容,其次其强大

  性是指不仅检测具有一定的广度和深度并且定义了检测到时该做什么 。snort中有15个

  -FlexResp)。FlexResp代码允许Snort主动地关闭恶意的连接。该模块合法的参数如下

  作为入侵检测系统,理论上只需要检测入侵,并不需要去回应入侵行为的。所以该功能

  应该是作为SNORT的附加功能,但是值得一提的是,发送RST和ICMP UNREACH数据包向攻

  击方可以暂缓其对目标主机的攻击,我们所研究的一个工具叫做dsniff中的tcpkill就是

  利用这个原理进行切断非法连接,但是对于一般的拒绝服务攻击,该方法的作用就不甚

  明显了。对于SNORT来说,实现该功能必然会降低检测的的效率尤其是在网络流量特别大

  content--在包的净荷中搜索指定的样式--最为重要的一个选项,用于在数据包的数据段

  中搜索指定的内容并根据数据触发响应,可以搜索包含混合的文本和二进制数据。并设

  Flags--检测tcp flags的值--非法端口扫描或者其他非法探测主机操作系统类型等。

  Seq--检测tcp顺序号的值--检测主机发送的序列号集是否是固定的集合。入侵者可以利

  用该值冒充合法用户向被入侵者发送数据,伪装正常的通信以窃取信息或者其他非法活

  Itype--检测icmp type的值--拒绝服务攻击。注:只作为其中的一种特征。

  Session--记录指定会话的应用层信息的内容--记录在TCP会话中的会话数据。

  Rpc--监视特定应用/进程调用的RPC服务--检测非法的RPC请求,查看RPC请求,并自动将

  预处理程序从Snort版本1.5开始引入,其代码在检测引擎被调用之前先被运行,为检测

  做铺垫,从而提高检测的准确性和速度。而且预处理机制采用插件形式,用户和程序员

  能够将模块化的插件方便地融入Snort之中。目前snort现有的预处理程序模块有以下三

  Minfrag预处理程序检查给定尺寸限制的分片数据包。数据包被分片通常是由源和目的主

  机之间的路由器引起的。一般说来,商业网络设备不会产生小于512字节的分片包。可以

  HTTP Decode用于处理HTTP URI字符串,将串中的数据转化为可读的ASCII字串,用于检

  如果指定了一个记录文件,在记录扫描类型的同时也记录目的IP地址和端口。端口扫描

  定义为在时间T(秒)之内向超过P个端口进行TCP连接尝试,或者在时间T(秒)之内向

  超过P个端口发送UDP数据包。端口扫描可以是对任一IP地址的多个端口,也可以是对多

  个IP地址的同一端口进行。现在这个版本可以处理一对一和一对多方式的端口扫描,下

  一个完全版本将可以处理分布式的端口扫描(多对一或多对多)。端口扫描也包括单一

  logdir/filename - 告警信息存放的目录/文件名,告警也可以写入标准的告警文件中。

  入侵检测系统的输出结果系统的必要特征是实时性和多样性,前者指能够在检测到入侵

  行为的同时及时记录和报警,后者是指能够根据需求选择多种方式进行记录和报警。一

  Snort是一个轻量级的NIDS,它的另外一个重要功能就是数据包记录器,所以该子系统主

  值得提出的是,snort考虑到用户需要高性能的时候,即网络数据流量非常大,可以将数

  snort作为优秀的公开源代码的入侵检测系统范例,其整个程序结构清晰,构思巧妙,我

  们对于其版本1.6.3的源码进行了深入的分析。Snort共有64个c文件和h文件,首先介绍

  snort的主要数据结构就是几个链表,上述已经提及,snort组织规则库的巧妙之处就是

  按照规则的处理动作来划分成三个链表,其中每个链表又按照协议类型:TCP,IP和ICMP

  分成三个链表,所以所有的规则都会被分配到这个三个链表中。链表中的成员就是描述

  每条规则的结构——RuleTreeNode,该结构中的一个重要成员就是记录该规则的处理函

  数链表——RuleFpList,一条规则有时候需要调用多个处理函数来进行分析。该结构中

  的另外一个重要成员就是规则选项的结构,该结构同样包括该规则的选项信息以及其处

  值得提出的是,并不是每一条规则都分配一个RuleTreeNode结构,因为很多规则的选项

  前的头部分是相同的,只需要根据不同的规则选项链取不同的选项函数处理链表。基本

  除以上链表外,snort还定义了预处理、输出的关键字和处理函数链表,设计链表的主要

  意图是为了实现插件的思想,即用户何以根据需求添加删除预处理的功能模块。其只要

  所有链表的初始化都是在捕获数据包前进行初始化的,一旦链表都已建立完毕,开始捕

  获数据包,每收到一个数据包都会现首先调用预处理程序链表中的函数进行处理后,其

  次按照默认地顺序遍历AlertList,PassList和LogList三个链表。遍历时首先根据数据包

  的协议类型定位规则链表,其次调用递归函数进行规则的逐一匹配,即首先匹配规则头

  ,若匹配则继续递归匹配规则选项,若不匹配,直接匹配下一条规则。为了加快遍历的

  我们认为snort已经具备了NIDS的基本功能,由于它本身定位在一个轻量级的入侵检测工

  具,尽管与商业的入侵检测工具比起来,它的规则语言略显简陋,在报警方式和图形化

  使用界面上也显露出不足之处,但是程序的整体结构清晰,规则语言简单实用并提供插

  件的功能支持,用户可以添加自己的检测规则和处理函数,这对于规则库的及时更新有

  通过分析,与商业的NIDS相比,SNORT 1.6.3没有设置对IP 分片包的处理功能,即对于

  例如“Teardrop”和“Ping of Death”两类利用非法IP分片包进行的攻击无法检测:

  ?--teadrop——该攻击是针对很多操作系统的TCP/IP协议栈没有正确处理已分段的IP包

  的重组。其特征是发送2个或更多特别的分段IP数据报。第一个包是偏移量为0的段,数

  据段(分段长度)字节是N,并设置了MF位,第二个包是最后一个分段(MF==0),但它的偏移

  量小于N,所有造成两个分段重叠了。为了重组这些包,有弱点的系统就会在TCP/IP栈中

  ?--Ping of Death——该攻击的特正是向攻击目标发送大量的ICMP分片数据包,当这些

  数据包重组时其数据段已经大于65535个字节,系统会因为无法处理这种数据包而造成拒

本文链接:http://vendor-lock.com/jinghe/661.html

相关推荐:

网友评论:

栏目分类

现金彩票 联系QQ:24498872301 邮箱:24498872301@qq.com

Copyright © 2002-2011 DEDECMS. 现金彩票 版权所有 Power by DedeCms

Top