[開源項目之三]
開源的IDS(入侵檢測系統)-- Snort
說起Snort可以說大多數據搞網絡安全的人都對它非常瞭解,甚至於可能基於它做過開發。它是一個Open Source形式發行的網絡入檢測系統。由Martin Roesch編寫,並有分佈於世界各地相當多的程序員對它進行着維護和升級。
Snort支持多種系統軟件和硬件平臺:例如 Red Hat Linux、Debian Linux、HP-UX、Solaris(包括x86和Sparc)、NetBSD/OpenBSD、MacOS等等。它的代碼遵循GNU/GPL協議。
Snort相對於昂貴的商業系統有很大的優勢,例如:它系統尺寸、易於安裝、便於配置。從功能上講,它也毫不遜色,並且有相當在的靈活性。從另一方面講,snort不僅是一個網絡IDS,還可以做爲網絡數據包分析器(嗅探器Sniffer)和記錄器(Logger)來使用。
Snort採用了基於規則的工作方式,對數據包內容進行規則匹配來檢測多種不同的入侵行爲和探測活動。例如緩衝區溢出,隱藏端口掃描、CGI攻擊、SMB探測等等。
Snort是建立在libpcap基礎之上的,LibPCAP爲它們提供了一個可移植的數據包截獲和過濾機制。整個程序的配置、規則的解析及數據結構的初始都在系統進行數據包分析 和檢測之前完成,以保證以對每個數據包的處理時間壓縮到最少,以獲得最好的運行性能。
它的系統架構強調性能、簡潔和靈活性,可分爲三個子系統:數據包解析器、檢測引擎和日誌/報警子系統。所有的子系統也都是建立在LibPCAP的基礎上的。這說說來,如果你對WinPCAP比較熟的話,移植或改裝它應該費力不大。
近年,國內的入侵檢測系統也大量上市了,性能功能姑且不論,但有很大一部分都是在借鑑別人的,snort就是他們的第一個研究對象。前些日子,我見一本專講入侵檢測的書,裏面就以很大篇幅講述了snort,並對snort的源代碼做了一定的註釋和講解。
參考資料:
1.snort官方網站
2.<<網絡入侵檢測系統的設計與實現>> 唐正軍 電子工業出版社 2002年4月北京
