iT邦幫忙

2023 iThome 鐵人賽

DAY 20
0
Security

由淺入深,探索 NFV 與入侵偵測系統在其中的應用系列 第 20

[Day20] Snort 模式解析:封包監聽、封包記錄、NIDS 和 Inline

  • 分享至 

  • xImage
  •  

我們常會使用網路型入侵偵測系統來管理網路安全和監控流量,在前幾篇也帶大家用 Snort 動手架設屬於自己的入侵偵測系統。

Snort 有分成四種主要運行模式,分別為:
* 封包監聽模式(Sniffer mode)
* 封包記錄模式(Packet Logger mode)
* 網路型入侵偵測系統模式(Network Intrusion Detection System mode,NIDS)
* Inline mode。

在不同的模式下運行,可以滿足不同需求。

這篇就來介紹一下這四種主要模式吧~


本篇大綱
一、封包監聽模式(Sniffer mode)
二、封包記錄模式(Packet Logger mode)
三、網路型入侵偵測系統模式(NIDS)
四、Inline mode


一、封包監聽模式(Sniffer mode)

  • Sniffer mode 主要用來監聽網路流量並分析封包,並將所監聽到的封包內容顯示於螢幕上。
  • Snort 在此模式下只會關注封包的解析和記錄,不主動偵測入侵事件或發出警報
  • 適用情境:了解網路流量模式、故障排除和性能監控。

二、封包記錄模式(Packet Logger mode)

  • Packet Logger mode 用來記錄接收到的網路封包,並將所監聽到的封包記錄到硬碟中,以供後續分析和調查使用,一樣也不會主動警告或阻止任何潛在的威脅
  • 適用情境:捕獲和存儲網路流量。

三、網路型入侵偵測系統模式(NIDS)

  • 網路型入侵偵測系統模式(NIDS)是 Snort 最常見的運行模式。
  • 在此模式下,Snort 監聽網路流量,分析封包,並生成警報,並偵測可能的入侵或威脅。
  • 可以識別和報告各種網路攻擊,如惡意軟體、網路掃描、漏洞利用、日誌記錄、警報通知等。

四、Inline mode

  • Inline mode 是 Snort 的進階模式。
  • 它不僅可以偵測入侵,還可以主動阻止惡意流量。
  • 通常需要額外的硬體支援或設備,如:入侵防禦系統(IPS)。
  • 會從防火牆(Iptables)來擷取封包,而非透過 libpcap。
  • 這模式允許 Snort 即時介入網路流量,阻止潛在的威脅,是一個主動的入侵防禦模式,保護網路免受攻擊。

Snort 提供了不同模式的選擇,來滿足不同的需求。
你也可以根據自己的具體需求和網路環境,選擇最適合的模式來配置和使用 Snort~

接下來主要還是會針對操作**網路型入侵偵測系統模式(NIDS)**喔!
/images/emoticon/emoticon12.gif


上一篇
[Day19] 在 Ubuntu 上使用 Snort 的常見指令集
下一篇
[Day21] Snort 入侵偵測系統的核心概念和規則結構
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言