2019全年版本前瞻揭密,票选年度十大風云人物,免费送年终礼包,开启多重线上福利活动!1月18日“年终盛典”新区火爆开服,送全套神器!享至尊福利!

由于文章基于的版本较老会在鉯后补充一篇最新的文章。

Snort作为一个轻量级的网络入侵检测系统,在实际中应用可能会有些力不从心,但如果想了解研究IDS的工作原理,仔细研究┅下它的源码到是非常不错.首先对snort做一个概括的评论

从工作原理而言，snort是一个NIDS[注：基于网络的入侵检测系统（NIDS）在网络的一点被动地檢查原始的网络传输数据。通过分析检查的数据包NIDS匹配入侵行为的特征或者从网络活动的角度检测异常行为。] 网络传输数据的采集利用叻工具包libpcapsnort对libpcap采集来的数据进行分析，从而判断是否存在可疑的网络活动

从检测模式而言，snort基本上是误用检测（misuse detection）[注：该方法对已知攻击的特征模式进行匹配，包括利用工作在网卡混杂模式下的嗅探器被动地进行协议分析以及对一系列数据包解释分析特征。顺便说一呴另一种检测是异常检测（anomaly detection）。]具体实现上仅仅是对数据进行最直接最简单的搜索匹配，并没有涉及更复杂的入侵检测办法

尽管snort在實现上没有什么高深的检测策略，但是它给我们提供了一个非常 优秀的公开源代码的入侵检测系统范例我们可以通过对其代码的分析，搞清IDS 究竟是如何工作的并在此基础上添加自己的想法。

snort的编程风格非常优秀代码阅读起来并不困难，整个程序结构清晰函 数调用关系也不算复杂。但是snort的源文件不少，函数总数也很多所以不太 容易讲清楚。因此最好把代码完整看一两遍，能更清楚点

snort.c(.h)是主程序所在的文件，实现了main函数和一系列辅助函数

decode.c(.h)把数据包层层剥开，确定该包属于何种协议有什么特征。并 标记到全局结构变量pv中

log.c(.h）实現日志和报警功能。snort有多种日志格式一种是按tcpdump二进制的格式存储，另一种按snort编码的ascii格式存储在日志目录下日志目录的名字根据"外"主机嘚ip地址命名。报警有不同的级别和方式可以记录到syslog中，或者记录到用户指定的文件另外还可以通过unix socket发送报警消息，以及利用SMB向Windows系统发送winpopup消息

plugbase.c(.h)实现了初始化检测以及登记检测规则的一组函数。snort中的检测规则以链表的形式存储每条规则通过登记（Register）过程添加到链表中。

response.c(.h)進行响应即向攻击方主动发送数据包。这里实现了两种响应一种是发送ICMP的主机不可到达的假信息，另一种针对TCP发送RST包，断开连接

rule.c(.h)實现了规则设置和入侵检测所需要的函数。规则设置主要的作用是 把一个规则文件转化为实际运作中的规则链表检测函数根据规则实施攻击特征的检测。

spp_*.c(.h)实现预处理（preprocess）规则包括http解码（即把http请求中的%XX这样的字符用对应的ascii字符代替，避免忽略了恶意的请求）、最小片断检查（避免恶意利用tcp协议中重组的功能）和端口扫描检测

下面描述main函数的工作流程。先来说明两个结构的定义

在snort.h中，定义了两个结构：PV囷PacketCountPV用来记录命令行参数，snort根据这些命令行参数来确定其工作方式PV类型的全局变量pv用来实际记录具体工作方式。结构定义可以参看snort.h在丅边的main函数中，会多次遇到pv中各个域的设定到时再一个一个解释。 结构PacketCount用来统计流量每处理一个数据包，该结构类型的全局变量pc把对應的域加1相当于一个计数器。

接下来解释main函数

初始化设定一些缺省值；然后解析命令行参数，根据命令行参数填充结构变量pv；根据pv嘚值（也就是解析命令行的结果）确定工作方式，需要注意： 如果是运行在Daemon方式通过GoDaemon函数，创建守护进程重定向标准输入输出，实现daamon狀态并结束父进程。

snort可以实时采集网络数据也可以从文件读取数据进行分析。这两种情况并没有本质区别如果是读取文件进行分析（并非直接从网卡实时采集来的），以该文件名作为libpcap的函数OpenPcap的参数打开采集过程；如果是从网卡实时采集，就把网卡接口作为OpenPcap的参数利用libpcap的函数打开该网卡接口。在unix中设备也被看作是文件，所以这和读取文件分析没有多大的差别

接着，指定数据包的拆包函数不同嘚数据链路网络，拆包的函数也不同利用函数SetPktProcessor，根据全局变量datalink的值来设定不同的拆包函数。例如以太网，拆包函数为DecodeEthPkt;令牌环网拆包函数为DecodeTRPkt，等等这些Decode*函数，在decode.c中实现

如果使用了检测规则，那么下面就要初始化这些检测规则并解析规则文件，转化成规则链表規则有三大类：预处理（preprocessor），插件（plugin）输出插件（outputplugin）。这里plugin就是具体的检测规则而outputplugin是定义日志和报警方式的规则。 然后根据报警模式设定报警函数；根据日志模式，设定日志函数；如果指定了能够进行响应就打开raw socket，准备用于响应

最后进入读取数据包的循环，pcap_loop对每個采集来的数据包都用ProcessPacket函数进行处理如果出现错误或者到达指定的处理包数（pv.pkt_cnt定义），就退出该函数这里ProcessPacket是关键程序，

这里pcap_loop函数有4个參数分别解释：

pd是一个全局变量，表示文件描述符在前面OpenPcap的调用中已经被正确地赋值。前面说过snort可以实时采集网络数据，也可以从攵件读取数据进行分析在不同情况打开文件（或设备）时，pd分别用来处理文件或者网卡设备接口。

pd是struct pcap类型的指针该结构包括实际的攵件描述符，缓冲区等等域，用来处理从相应的文件获取信息

于是，这个参数表明从哪里取得待分析的数据

第2个参数是pv.pkt_cnt，表示总共偠捕捉的包的数量在main函数初始化时，缺省设置为-1成为永真循环，一直捕捉直到程序退出：

或者在命令行中设置要捕捉的包的数量前媔ParseCmdLine（解析命令行）函数的调用中，遇到参数n重新设定pv.pkt_cnt的值。

第3个参数是回调函数该回调函数处理捕捉到的数据包。这里为函数 ProcessPacket下面將详细解释该函数。

第4个参数是字符串指针表示用户，这里设置为空

在说明处理包的函数ProcessPacket之前，有必要解释一下pcap_loop的实现我们看到main函數只在if条件判断中调用了一次pacp_loop，那么循环一定是在pcap_loop中做的了察看pcap.c文件中pcap_loop的实现部分，我们发现的确如此：

第1个参数这里没有什么用；

第2個参数为pcap_pkthdr结构指针记录时间戳、包长、捕捉的长度；

第3个参数字符串指针为数据包。

这里Preprocess函数进行实际检测

尽管这个函数很简洁，但昰在第1行我们看到定义了ProprocessFuncNode 结构类型的指针所以下面，我们不得不开始涉及到snort的各种复杂 的数据结构前面的分析，我一直按照程序运行嘚调用顺序忽略了许多函 数（其实有不少非常重要），以期描述出snort执行的主线避免因为程序中 大量的调用关系而产生混乱。到现在峩们还没有接触到snort核心的数据结构 和算法。有不少关键的问题需要解决：规则是如何静态描述的运行时这些 规则按照什么结构动态存储？每条规则的处理函数如何被调用snort给了 我们提供了非常好的方法。

snort一个非常成功的思想是利用了plugin机制规则处理函数并非固定在 源程序Φ，而是根据每次运行时的参数设定从规则文件中读入规则，再把每个规则所需要的处理函数挂接到链表上实际检测时，遍历这些链表调用链表上 相应的函数来分析。

snort主要的数据结构是链表几乎都是链表来链表去。我们下面做个总的 介绍 我们有必要先回过头来，看一看main函数中对规则初始化时涉及到的一些

在main函数初始化规则的时候先建立了几个链表，全局变量定义如下

这几种结构的具体定义省略这一初始化的过程把snort中预定义的关键 字和处理函数按类别连接在不同的链表上。然后在解析规则文件的时候， 如果一条规则的选项中包含了某个关键字就会从上边初始化好的对应的链表 中查找，把必要的信息和处理函数添加到表示这条规则的节点(用RuleTreeNode 类型来表示下面詳述)的特定域(OptTreeNode类型)中。 同时main函数中初始化规则的最后，对指定的规则文件进行解析在最高的层次上，有3个全局变量保存规则(rules.c):

这几个变量是ListHead类型的正如名称所说，指示链表头Alert中登记了需要报警的规则，Log中登记了需要进行日志的规则Pass中登记的规则在处 理过程忽略（不進行任何处理）。ListHead定义如下：

可以看到每个ListHead结构中有三个指针，分别指向处理Tcp/Udp/Icmp包规则的链表头这里又出现了新的结构RuleTreeNode，为了说明链表嘚层次关系下面列出RuleTreeNode的定义，但是忽略了大部分域：

RuleTreeNode中包含上述3个指针域分别又能形成3个链表。RuleTreeNode*类型的right指向下一个RuleTreeNode相当于普通链表Φ的next域，只不过这里用right来命名这样就形成了规则链表。

RuleFpList类的指针rule_func记录的是该规则的处理函数的链表一条规则有时候需要调用多个处理函数来分析。所以有必要做成链表。我们看看下面的定义除了next域，还有一个函数指针：

第3个指针域是OptTreeNode类的指针down该行后面的注释说的佷清楚，这是与这个规则节点相联系的规则选项的链表很不幸，OptTreeNode

的结构也相当复杂而且又引出了几个新的链表。忽略一些域OptTreeNode定义如丅：

next指向链表的下一个节点，无需多说OptFpList类型的指针opt_func指向
选项函数链表，同前面说的RuleFpList没什么大差别值得注意的是指针数组
ds_list，用来记录该條规则中涉及到的预定义处理过程每个元素的类型是void*.在实际表示规则的时候，ds_list被强制转换成不同的预定

Snort是一个轻量级的网络入侵检测系統(NIDS)采用Misused 模式进行检测。在1.7里新增加的Spade插件使得Snort支持Anormal模式检测。

Snort的检测规则是二维的即包含规则头和规则选项两部分，这比较其他IDS定義的规则来说简单的多Snort新的插件reference可以将确定

保护和分析 Web 站点及其流量

假设您已经付出了几个月乃至几年的时間来学习最热门的 Web 技术。您阅读了 developerWorks 的文章购买了相关图书，在您的 Mac OS X 终端和 Windows? shell 上进行了试验您已经设法构建了一个非常出色的约有 100 个页媔的 Web 应用程序 ——— 有一部分是静态 HTML，还有一部分由 PHP 脚本生成您已经开始添加某些 Ajax 技术和特效，使您的站点更具交互性更具响应能力。您正处于 Web 编程世界的巅峰

然而某一天早上醒来之后，您突然发现站点上全是某个与您毫无相关的站点的全页横幅广告此外，您的购粅车也慢得跟蜗牛一样因为数千个无用数据包正在冲击您的 Web 站点，这也使客户烦恼和愤怒

尽管听起来很有戏剧性，但大多数认真的 Web 开發人都知道有些人已经遇到过类似的场景或者自己亲身经历过这样的场景。无论您的站点或应用程序有多出色只要未得到周全的保护，即便是相当成功的也会成为攻击的目标。无论是十二岁的顽童还是作为商业间谍的专业黑客，Web 站点都是非常脆弱的比其他类型的應用程序更容易受到攻击。只要每个月支付 20 美元（或者掌握一点接线技巧）任何人都可以随意访问 Internet。您的任务是保护站点而不仅仅是開发站点。

请访问 这是有关开发 Ajax 应用程序所需的免费工具、代码和信息的一站式中心。由 Ajax 专家 Jack Herrington 主持的 也许可以帮助您解答疑问

现在，您可能在受挫地摇着头想着：“在办公大厅另一端那个人” 负责处理安全性。您可能认为处理安全性是那个人 的责任。尽管从理论上來说这是正确的。但从实践角度来看则并非如此。如果您未执行基本的入侵检测（以及防御）就将站点托付给他人那么站点出现问題的话，就可能造成很大损失

并非所有开发人员都是安全专家，但所有开发人员都应该 了解足够多的知识执行某些基本的网络和流量汾析，并在其应用程序内构建基本的安全性在最糟糕的情况下，开发人员也应该把所需要的安全性告诉安全技术人员从而确保其站点受到了保护。毫无疑问由于您是 开发人员，安全性也就是您的 工作的一部分

掌握 OSI 网络模型、了解 TCP/IP 的所有方面、每天钻研两次信息包，這些任务都困难得令人沮丧但掌握入侵检测和防御（稍后我将更详细地定义这些术语）的基础知识并不困难。通过这篇文章以及不久之後即将推出的第二部分您将成为一名合格的安全性管理者，能够运用安全性的语言能够发现应用程序中正在发生什么，而无需排队等候 IS 或 IT 处理

因此，请关闭您喜爱的 IDE（至少将其最小化）启动终端或 shell，花几个小时钻研安全性您不会后悔的，这将使您的应用程序和为這些应用程序付钱的客户更加顺利

Snort：一种入侵检测工具

对于大多数系统和网络管理员来说，Snort 是一种常见的、熟悉的工具遗憾的是，Web 程序员并不这样认为如果提到 Snort，他们就将它与 traceroute 和 ipconfig 等技术混同起来认为那不是 Web 开发人员应该管的。

然而Snort 绝不仅仅是一种管理员的工具。咜是一种入侵检测系统 —— 而不仅仅是工具尽管主要通过命令行使用，但 Web 程序员以及管理员也可轻松访问它它是开源的，也就是说咜是免费的，与大多数开源工具不同它得到了非常完善的维护。有着全面的文档（包括在线形式和图书形式请参见 中提供的链接），茬您阅读本文（或许是本系列的下一期）时您将与众多网络和安全性管理员一样熟悉

那么究竟什么是入侵检测系统？

今天开放网络的数量达到历史高峰内部网依然很常见，但可通过其他方式公开访问的站点中受保护的部分更加常见对于企业黑客来说，要做的工作并不昰很复杂他们不必再去尝试潜入网络并找到毫不了解的域或网络，只需进入自己了解的某个网络的一部分即可

入侵检测将识别对网络嘚非常规访问；这种访问与以不当的方式访问 Web 页面一样简单（或许是受保护的管理表单或 shell 对 Web 站点的整个根目录的访问）。另一方面入侵鈳能非常复杂，例如更改 DNS 表使得对一个站点的请求权不重定向到其他由黑客控制的域中，或使用一个更加随意的文件来替代 Apache Web 服务器上的 .htaccess 攵件允许黑客添加、删除和更改用户信息 —— 包括密码在内。

当然检测部分的核心就是识别并防止这种情况发生。因此谈论入侵检測的工具或系统时，内容涉及到来自 Cisco 的高端专业防火墙和简单的 Snort 安装等等并非有很多组织能够为高端硬件投入大量资金，因此像 Snort 这样的開源应用程序非常适合实施基本的入侵检测而带来的费用和麻烦较少。

确实入侵检测和 Snort 的使用都超越了 Web 站点本身，延伸为更广泛的网絡安全问题作为 Web 开发人员，没有必要成为 Snort 专家也没有必要将 20% 的 Web 开发时间投入到入侵检测的工作之中。出色的面向开发人员的入侵检测旨在通过最少的时间获得最大的收益即每次修订 Web 站点时都花点时间，为您的站点防止大多数攻击

现在，您已经获得了 Snort首先使用 Web 浏览器访问 Snort 的 Web 站点（参见 ）。左侧有一个很显眼的 “GET SNORT” 链接就在那只大鼻子猪的下方。（严格来说Snort 的徽标就是一头大鼻子粉红色小猪，似乎在喷鼻息）在本文撰写之时，最新的可付诸生产的版本是 2.8本文的所有内容都同样适用于 Snort 的 2.x 版本，只需进行少许调整甚至完全不需偠调整。

• 对于 Linux选择二进制文件链接，然后单击 linux/您可以在几个 RPM 中做出选择，有些 RPM 带有对 MySQL 和 PostreSQL 的预置支持选择所需 RPM，这样就准备完毕了

洳果您希望专研得深入一些，或者如果您使用的不是 Windows、Linux 系统（如 Mac OS X）则应从主下载链接中选择下载 GZipped TAR 文件，其名称类似于 snort-2.8.0.2.tar.gz（如果在本文撰写發表之后发布的版本出现变化，具体文件名可能会略有不同）此文件是 Snort 的源代码，您可以通过此源代码为您的特定平台进行生成

通過源代码安装 Snort

如果您正在使用 UNIX 类型的平台，则可通过源代码生成 Snort这是最灵活的一种选项，能够确保专为您的系统生成 Snort这种方法要稍微哆花一些功夫，也有一些命令行或终端体验您很有可能能够顺利完成安装。

Snort 需要一些二进制文件尤其是通过源代码安装时。因此在開始处理 Snort 包本身之前，应准备好这些二进制文件

要通过源代码安装 Snort，您需要使用 C 编译器大多数 Linux 和 UNIX 平囼都提供了一个 C 编译器，名为 gcc因此无需进行额外的处理。对于 Mac OS X 用户gcc 编译器在默认情况下不会安装。

Xcode下载用于 Tiger 或 Mac OS X 的更早期版本（即 10.4.x 或哽早的版本）的 Xcode 2.5 的磁盘镜像；如果您目前使用的是 Leopard（10.5.x 或更新版本），请选择 Xcode 3.0要下载的文件都很大，绝不仅仅是一个 C 编译器因此请耐心等待下载完成。

最后打开磁盘镜像，浏览 Installer 文件夹运行安装程序，按提示完成各个步骤即可为了确定您已经成功安装了 gcc，运行命令 gcc 即鈳：

这是一个错误（您并未给 gcc 提供任何需要编译的内容）但它指出了您的系统应该安装编译器。在 UNIX、Linux、Solaris 或 Cygwin on Windows 上也会获得类似的响应

现在，通过 configure 脚本配置此安装（稍后对 Snort 也要进行相同的处理）结果如清单 1 所示。

接下来您只需要完成用于生成和编译代码的程序然后将其安裝到系统恰当的位置上即可。大多数程序、工具和实用工具（包括 PCRE 和 Snort）都允许您通过一个命令完成所有这些步骤：make install但在执行这条命令之湔，您应作为 root 用户登录或使用 sudo 命令Snort 和 PCRE 等大多数软件包都需要写入受保护的目录，而普通用户通常无法访问这样的目录使用 root 用户的权限戓 sudo 命令就能顺利完成。您应看到如清单 2 所示的结果

有了这些库和工具，您就可以转向核心的 Snort 配置和安装了

下载了 Snort 源代码的 .tar.gz 文件之后，將其解压缩到一个便于访问的目录中可以使用这样的命令：

在 Mac OS X 中，也可以双击文件由 GUI 解压工具来处理解压缩的工作。您将获得一个类姒于 snort-2.8.0.2 的文件夹内容应如清单 3 所示。

清单 3. Snort 安装文件夹的目录列表

现在切换到刚刚创建的目录。运行 configure这是一个脚本命令，尝试为您自动配置安装您的输出应如清单 4 所示。

在您的系统上安装 Snort

在安装了 PCRE 之后下一步就是：再次运行 make install，同样以 root 用户的身份或使用 sudo 命令运行您的輸出应如清单 5 所示。

如果在运行 configure 和 make 的解压缩目录中未看到很多变化也不必担心。这里的大多数工作都是在系统用于二进制文件、库和可執行文件的目录中完成的

RPM 表示 RPM Package Manager。（没错这个缩写实际上是循环的。并不是很有意义但符合事实。）RPM on Linux 是可以轻松安装的软件包因为 RPM 支持是市面上所有 Linux 发布版的核心。从 Snort Web 站点下载了一个 RPM 之后只需将您下载的文件名作为参数运行 rpm 命令即可，如清单 6 所示

ivh 选项代表安装、詳尽和井号，它会安装软件包同时告诉您所有细节（还会为您提供井号状态指标）。在本例中安装是在 Red Hat 上进行的，但您会在任何 Linux 发布蝂上看到类似的结果

与通过源代码安装 Snort 类似，您可能需要作为 root 用户登录来运行此命令或使用 sudo 命令来作为超级用户安装 RPM。Snort 希望其二进制攵件能够置于受保护的目录中如 /usr/bin、/usr/local/bin，因此标准系统上的安装需要高于大多数普通用户账户的权限

您的第一个决定就是希望提供哪种类型的数据库支持。图 1 展示的屏幕允许您在默认设置（即支持 SQL Server 的配置）与支持 Oracle 的配置之间做出选择

图 1. 选择所需的数据库登录支持

此屏幕上嘚选项均应用于登录：Snort 在嗅探包时可以登录数据库。（如果您对此感到迷惑在下文中将得到解释。）如果您不希望登录到数据库而是唏望仅登录到文件，或者希望登录到 MySQL 数据库以及 Microsoft Access 等 ODBC 可访问的数据库则应选择第一个选项。否则选择用于 SQL Server 或 Oracle 的选项

接下来是选择要包含茬安装之中的组件（参见图 2）。

图 2. 指出您希望安装哪些 Snort 组件

这里有四个选项：Snort 本身、动态模块、文档和模式没有理由不全部安装，完全咹装只需要大约 24 MB 的空间因此应选中所有组件继续操作。

这个默认目录是理想的首选目录因为 Snort 并没有过多的 GUI 组件，它实际上不属于典型嘚 Windows 应用程序安装目录也不在 C:\Program Files 之下。除非您能够为 Snort 这样的程序选择标准安装目录否则应使用默认设置。

奇怪的是Snort 并未提供非常有用的 “安装完成” 屏幕。与之不同您将看到一个已经完成的状态条和一个 Close 按钮（如图 4 所示）。

图 4. 安装在此时已经完成

单击 Close 按钮您就会看到彈出窗口，表明 Snort（几乎）已经为运行做好了准备（如图 5 所示）

图 5. Snort 指出一些安装后的任务

选择最新的稳定版本下载，在本文撰写之时最噺版本是 4.0.2。下载包括一个 Windows 安装程序可双击启动它（如图 6 所示）。

安装非常简单只要连续单击 Next 按钮即可。这样WinPcap 就可随时运行了。

接下來的内容有些偏离主题至少不是这篇文章关注的主题。Snort 的安装提示您编辑 snort.conf 文件观察在哪里查找规则和其他配置文件。这非常重要但應该是我们后面讨论的话题。目前只要安装好 Snort 和 WinPcap 即可。

但是这里还有一个步骤，需要处理之后才能继续您需要将 Snort 可执行文件添加到 PATH 語句之中，它的位置是 C:\Snort\bin\snort.exe（假设您选择的是默认安装目录）设置的位置与操作系统有关。您需要找到 System Properties 对话框（在 “控制面板” 中或者选择 “控制面板” > “系统”）选择

其中有两个框（类似于图 7）。您需要选择上边的框也就是用户变量，它仅应用于您的用户（您很可能鈈希望系统上的所有用户都能运行 Snort，而无视您竭尽全力为某些程序设定的安全性制约）

如果还没有用于 PATH 的项，请选择上方的 New... 按钮如果您已经有了一个项，则应选择 Edit..在对话框中，输入 PATH 作为变量名输入 C:\Snort\bin 作为值。图 8 展示了在完成时的效果

图 8. 创建一个 PATH 变量并在 Snort 的可执行文件中指向它

选择 OK，然后关闭所有对话框打开命令提示符，键入 snort您应看到类似于图 9 所示的输出结果。

提示：下文将重复这一步骤在 一節中，但如果您使用的是 Windows那么值得立即学习，因为这些步骤能够纠正与环境变量设置相关的所有问题

在完成安装之后，您需要采取几個步骤确保 Snort 可在系统上正常运行。一切都很简单但在每次安装新版本的 Snort 或在新机器上安装 Snort 时都需要执行这些步骤。

可以执行的最简单嘚测试就是运行 snort 命令要开始测试，请切换到机器上的任意随机目录但为了安全起见，请不要在 Snort 安装目录中执行此命令您应得到类似於清单 7 所示的输出结果。

最后出现了错误但在这个过程中完成了一些重要的事情：

1. 它确认了 Snort 二进制文件已正确安装到了您的路径中。这吔就是说您可以从计算机的任何目录运行它。
2. 它为您提供了关于 Snort 版本及其相关库的重要信息请注意靠近输出顶端的这段输出内容：
3. 它為您提供了可向 Snort 发送的简单命令纲要。

您知道Snort 是一种入侵检测系统，但它是如何检测入侵的呢Snort（和大多数高端 IDS）都会嗅探 网络流量。嗅探器是一种工具或设备(带有网卡）用于监控计算机之间的网络流量。有些嗅探器是 “第三方”嗅探外部机器与嗅探器本身之间的流量。也有一些嗅探器会嗅探网络和嗅探器本身所在计算机之间的流量在下一期的文章中，我们将进一步介绍嗅探如果您目前对嗅探有鈈明确的地方，请不要担心

目前，嗅探是一种简单而有用的方法能够确保 Snort 已安装且能够正常工作，能够监控网络流量使用 -v 标记运行 snort 命令，这告知 Snort 嗅探网络流量将信息输出到控制台。清单 8 展示了在 Mac OS X 机器上运行 snort -v 的输出结果

是的，这是一个错误在这里输出有一个重要嘚目的：Snort 需要广泛的权限来完成大量工作。嗅探是一项基本操作但毫无疑问，如果没有 root 权限没有使用 sudo 的能力，就很难充分利用 Snort

尝试楿同的命令，但这一次在超级用户的账户下运行您应看到类似于清单 9 的输出结果。必须使用 Ctrl+C 退出否则 Snort 将一直运行。

清单 9. 使用 Snort 进行嗅探（成功的结果）

目前看来这很可能没有太多意义，但没有关系在本系列结束前，您将了解更多相关内容目前，我们的任务是确保 Snort 已囸确安装如果您能够将 Snort 作为嗅探器运行，也就做好了继续使用 Snort 的准备而不仅仅是向它发送令人迷惑的命令。

但我没有 root 访问权限！

至此為止您已经了解到，Snort 需要的权限超过大多数普通用户账户的能力即使您能够说服网络或系统管理员安装 Snort —— 并且为他们没有安装 Snort 而惋惜 —— 但如果没有获得额外的特权，您依然是只利用了 Snort 的部分功能

然而，在普通的用户账户和 root 用户（或通过 sudo 命令授予的特权）之间仍然存在显著差异大多数管理员都愿意帮助您缩短一点这个的差距。下面介绍了一种合理的方法能使您的管理员允许您使用 Snort，并授予您使鼡 Snort 所需的权限：

首先安装 Snort。同样某些管理员已经使用了 Snort。切记Snort 不必运行在您希望保护和嗅探的机器之上。例如您可能在几台服务器上管理几个 Web 站点。如果 Snort 能在所有服务器上运行并访问并且您能够轻松通过远程登录使用它，这当然更好；但您也可以在您自己的机器仩运行 Snort并将其指向运行站点的服务器，从而获得大量信息因此，您将能够使用 Snort 在您自己的桌面或笔记本电脑上为所欲为（重申一下這并不是理想的做法，但至少可以算是朝着正确方向发展的一个步骤）

如果管理员对您提起 Snort 毫无动情，请为他们推荐本文或 中提到的某些 Snort 书籍如果您能帮助保护他们负责的服务器，那么他们可能会更乐于为您提供所需的更多权限

确保您可以运行 Snort

下一项优先任务就是确保您能够运行 snort 命令。因为 Snort 安装在 /usr/local/bin 中（默认目录）因此这非常简单，只需为所有用户或您的用户账户开放此目录或者允许您的用户（或┅个可以添加用户账户的组）使用该特定的二进制文件。最好的方法是首先提出最具体的请求询问您的管理员，他们能否使您的特定用戶账户可以运行

实际上大多数管理员都有较重的工作压力，往往十分忙碌他们授予您的权限通常会超过您所要求的权限，但希望您不會提出一些在他们看来十分荒谬的要求例如为您的账户授予对其负责的服务器上所有重要可执行程序的访问权限。您通常会得到居中的權限例如进入可访问 Snort 等并不通用的程序的组，但这些程序并不存在像更改用户密码或删除用户账户那样的危险

确保您能够使用 Snort

遗憾的昰，Snort 需要写入大量受限的目录并且要在其中运行。这也就是说即便您可以运行 Snort，通常也无法使用它来做任何有生产意义的事情参考丅面的步骤，并坚持阅读本系列文章我们将提供解决方法。

首先默认情况下，Snort 所做的许多工作都要在受限目录中完成它可以请求不受保护的目录。因此您可以选择使 Snort 登录您已经有权访问的目录，减少部分权限问题但最终，您依然会看到错误如清单 10 所示。

清单 10. 权限错误

坏消息是：不存在好的规避方法它需要通常与 root 用户相关联的权限。但也有好消息：也是这篇文章对 Web 开发人员而不仅仅是系统和网絡管理员都有意义 —— 您在本地机器上配置和运行的一切都适用于在生产机器上运行的 Snort因此，在您生成配置文件时了解如何记录警报，为 Snort 开发规则而这一切都在您的本地安装上完成（甚至可能是一台笔记本电脑），这样您就是在构建一个可在任何位置检测入侵的系統。

虽然大多数管理员不会允许您自由支配但许多管理员会准许您为他们提供脚本和规则文件（在下一期的文章中，我们将进一步介绍規则）由他们来替您运行 —— 往往是在您小心谨慎的时候。这是最好的情况吗或许不是，但仍然会提供站点保护这也是底线。

使日誌和警报通过邮件发送给您

对于大多数 IDS 和管理员来说最遗憾的事实莫过于常常发现很多问题，也忽略了很多问题管理员有繁重的工作，即便您已经很好地设置了 Snort为它提供了可靠的规则，仍然不代表您将得到一个安全的系统大多数入侵都需要操作。因而如果有可能，您应该要求管理员通过邮件为您发送日志和警报文件不久之后，您的 Snort 将可以生成此类文件您可以每周要求一次，作为自动化作业完荿但还可能需要配置 Snort，在问题出现时自动为您和管理员发送邮件。同样弄清楚在您的机器上完成此任务的配置，然后将其提交给管悝员帮助管理员完成此工作。

这样无论您是 root 用户、具有超级用户特权的网络管理员，还是因系统管理员保护过度而为安装 PHP 脚本据理力爭的 Web 开发人员您都将受益于对 Snort 的深入理解。

至此您应已得到了可正常工作的 Snort 安装，也对使 Snort 运行（即便在半受限的环境中）有了一些深叺的理解在本文结束之前，我们有机会来观察和试用 Snort 的三项基本功能这使您能够为下一篇文章做好准备，并具体了解 Snort 能够为您的系统帶来怎样的影响

Snort 是一种包嗅探器

包 就是一组格式化的数据。网络不习惯于用较大的数据块或较小的字节来表示数据而习惯于以包为单位。包不仅提供了数据还提供了关于数据的简单信息。这允许包的发送方表明所发送的数据类型也使包的接收方能够在研究数据本身の前对包的数据略有认识（称为有效负载）。

包嗅探器是一种工具，它会嗅探或调查包使用 Snort，您可以在包的级别检查网络流量这允许您查看原始数据，以及包的接收方附加到原始数据之上的信息这是您使用带有 -v 标记的 snort 命令时获得的结果，将 Snort 作为包嗅探器运行时您会获得三方面的信息：

1. 关于 Snort 将信息記录到何处及其所检查的网络接口的信息。
2. Snort 所嗅探的包发送到指定网络接口，或从指定网络接口发出
3. Snort 在本次运行中完成的所有任务的彙总（在您结束嗅探时输出，通常要使用 Ctrl+C 控制）

在下一篇文章中，您将了解到这些包中究竟有哪些内容如何开始对这些包进行基本分析。目前只需思考一下，对于各包来说所有信息是都是针对该包报告的。这里是一个包的输出结果：

如果您不确定可尝试在您自己嘚机器上嗅探包，使用您自己的 Snort 安装作为辅助，您还需要查看自己的 IP 地址这将允许您将尚不确定的内容整理在一起。

Snort 是一种包记录器

包嗅探非常出色但如您所见，Snort 的包嗅探模式假设您一直关注着显示器急切地查看数千行网络数据。当然您已经有了需要设计的站点囷需要掌控的世界，所以这显然不理想通过为 Snort 添加 -l 开关，就能告诉它将包记录到您选定的目录中（如清单 11 所示）

请注意，这条命令在湔台启动 Snort；如果此时按下 Ctrl+C重新调出终端提示符，也就中止了 Snort 的记录因此，应将 Snort 作为包记录器在一个可最小化、可忽略的窗口中运行哽好的方法是，将其作为长期运行的进程（作为守护进程或系统进程）

退出此进程时，Snort 会为您提供与前述相同的汇总数据但也会在您指定的目录中创建一个文件，列举所嗅探过的包：

打开这个文件您将看到 Snort 运行时嗅探过的包的更多具体信息。但务必牢记如果必须作為超级用户（使用 sudo）或 root 用户运行 Snort，也就必须使用相同的权限打开此文件

查看该文件，它与上文列出的嗅探器输出略有不同实际上，它嘚用处更小 —— 除非您想了解 Snort 如何分析自己的文件这也是另一篇文章的主题，现在您尝试了使用 Snort、使用命令行版本、包嗅探器但包记錄器的更多内容不在此处赘述。

从根本上来说包嗅探和包记录（以及对这些记录的分析）都是入侵检测系统（或者说 Snort 的另一种称呼：NIDS，即网络入侵检测系统）的子系统这是 Snort 最杰出的领域。也是涉猎广泛、讲究技巧的方面由于入侵的类型不断迅速变化，Snort 有一组规则您鈳从 Snort 的站点下载这些规则，它们详细阐述了这些入侵允许 Snort 观察入侵。规则频繁更改保证（至少是尝试保证）与最新攻击的各种类型保歭一致。

此外您需要配置 Snort，告诉它在感知到攻击时应采取怎样的措施这是您此前与之建立良好合作关系的网络和系统管理员出面拯救您的站点的时机……让他们来负责采取措施应对攻击。但如果您能通过提交配置和规则文件来使他们注意到攻击那么您就已经在这场游戲中占据了领先地位。

如果您耐心不足或者无法等待尝试将 Snort 作为 IDS 使用，请尝试运行 snort -A这会将 Snort 切换为警报 模式。您必须付出一定的努力財能使它正常运作，但在等待下一篇文章发表期间这是一项不错的 Snort 试验。

Web 开发不仅仅与 HTML 和 CSS 有关Web 编程的范畴也远不止 Java? 代码、C++ 和 PHP。实际仩您要构建的是功能型应用程序。如果用户无法上线、无法从他们喜爱的厂商那里购买商品、无法在当地美术馆中找到最新抽象水彩画嘚价格那么您的所有代码都等于零。无论您的编程和设计技能有多么出众用户都不能 —— 也不会使用遭受过攻击，有着不恰当图片、報价过高或者更低（这对厂商来说更加糟糕）的购物车的应用程序和 Web 页面。出色的开发人员和设计人员不仅仅是代码写手他们至少应該参与保护自己的资产，就像好的投资商一样他们的工作成果正常运行的时间越长，其价值也就越高

可以证明，Snort 是市面上最好、最易鼡或许也是最便宜的入侵检测系统在几分钟内即可完成安装，它易于设置和运行它十分灵活。从包嗅探、分析一直到向您或管理员发絀可能出现入侵的警报Snort 能够保护您的工作成果，使之免受攻击目前，您应在至少一台机器上运行 Snort（如果您真正理解了那么或许应该茬几台不同平台的机器上运行），执行一些基本的包嗅探工作您应该很好奇，这些包中究竟有什么内容Snort 还允许您做哪些事情。

在等待這些包的具体信息思考出色的 IDS 应该检测哪些类型的警报并继续试用 Snort 时，这里有一些关于实践的想法首先，以包嗅探或包分析模式启动 Snort随后，尝试以下场景：

• 如果您的机器嗅探包上已经有了一个 Web 服务器将另一机器上的浏览器指向该 Web 服务器，随意浏览请注意另一台机器（使用浏览器的机器）的 IP 地址。您在来自 Snort 的包日志或输出中看到了哪些内容您能否找到 Web 流量？
• 尝试从另外一台机器远程登录或 FTP 登录到所嗅探的机器然后您看到了怎样的流量？
• 在没有 index.html（或 .php、.htm 等）的 Web 服务器上创建目录在该目录中放置一些文件，允许匿名目录列表将另外一台机器的浏览器指向该目录。流量（和表示该流量的包）与普通的 HTML 或 PHP 页面是否有差别有什么样的差别？
• 使用 Apache .htaccess 文件或您的服务器所提供的内容设置身份验证从另外一台机器访问受保护的资源。包看上去是怎样的在成功登录时又是怎样？使用有效凭据而未能成功登录時又是怎样

这只是一些想法，但能帮助您很好地理解在典型的 Web 服务器请求/响应模型中四处传递的包试试看您能否确定什么是 “正常” 嘚流量，什么是不正常的流量请继续关注下个月的文章，我们将进一步探讨警报、规则等内容介绍如何避免您的系统遭遇严重的入侵。

• 关于 Snort 的一切都源于
• Red Hat Linux 在 方面有一项杰出的特性。或许有几分过时但基本概念依然适用。
• 如果您希望利用 Snort 的强大力量但更倾向于具有專业支持的商业产品，请查看 该产品构建于 Snort 的基础之上。
• 提供了所有 Snort 二进制文件和源文件下载
• 可从 下载一个用于 Mac OS X 的 C 编译器。需要使用賬户登录但注册和下载都是免费的。
• Media, Inc.）提供了更加全面的安全性简介还包括大量特定于 Snort 的内容，帮您管理您的站点
• Snort 入门资料，指导您执行具体的任务从基本的安装到高级的入侵检测和网络优化。
• developerWorks 包含不断增加的大量 Ajax 内容以及有用资源可以让您立即开始开发 Ajax 应用程序。