iT邦幫忙

2023 iThome 鐵人賽

DAY 15
1

前幾篇我們介紹到常見的 IDS 時,有說到主要又有分為:
主機型入侵偵測系統(HIDS)網路型入侵偵測系統(NIDS)

而我們要實作出網路型入侵偵測系統(NIDS),通常都會使用 Snort 這個開源的 NIDS 來做。
因此,這篇就要來跟大家介紹 Snort!


本篇大綱
一、什麼是 Snort?
二、Snort 的工作原理
三、Snort 的特點


一、什麼是 Snort?

  • Snort 是一個免費、輕量級、跨平台且開源網路 IDS
  • 主要功能是監視網路流量,以偵測潛在的入侵、威脅或不正常行為。
  • Snort 在全球被廣泛使用,並且支援多種作業系統,包含:Linux、Windows 和 macOS。

Snort 下載連結:https://www.snort.org/

二、Snort 的工作原理

  • Snort 是一個能夠以攻擊特徵為基礎的入侵偵測系統。它可以利用事先建立好的已知攻擊特徵資料,比對接收到的封包內容是否含有攻擊行為,若符合特徵,即觸發相對應的動作。

  • Snort 的工作原理基於網路流量的分析和規則匹配,主要分為:

  1. 流量監控
    • 監控網路流量,通過網路介面或網路監聽器來獲取數據包。
  2. 封包解碼
    • Snort 解析數據包,提取有關來源IP、目標IP、端口和協議等訊息。
  3. 規則匹配
    • 會使用預定義的規則集(也可以自定義)來比對解析的數據包。這些規則基於特定的模式、特徵和行為,用於偵測各種威脅。
  4. 警報生成
    • 如果某個數據包匹配了一個或多個規則,Snort 將生成一個警報,指示可能存在的安全風險。
  5. 警報記錄
    • Snort 會將這些警報記錄到 Log 中,供安全人員分析和查看。

三、Snort 的特點

  1. 開源和免費
    • Snort 是一個開源專案,且免費提供使用。這使得它成為小型企業和個人使用的理想選擇
  2. 強大的規則引擎
    • 規則引擎非常靈活,允許用戶能根據自己的需求創建和自定義偵測規則,以加強入侵行為的偵測。
  3. 即時警報
    • 能即時警報安全事件,讓安全人員能夠快速響應潛在的威脅。
  4. 網路流量分析
    • 不但能偵測單個封包,還能夠分析整個網路流量,識別複雜的攻擊和威脅。
  5. 社群支援
    • Snort 的社群很活躍,提供大量的文檔、偵測規則和支援資源,讓用戶可以參考和分享經驗。

未來幾篇,還會陸續教到 Snort 的安裝、設定、外掛
/images/emoticon/emoticon42.gif


上一篇
[Day14] 虛擬機器 VM 介紹
下一篇
[Day16] 動手架設入侵偵測系統吧~VMware Workstation Player(Windows 64-bit)的安裝方法
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言