官方網站
Git 儲存庫產品說明
Snort 是全球最知名的開源網路入侵檢測與防禦系統(IDS/IPS)。自 1998 年發佈以來,它已成為網路安全領域的事實標準。Snort 能夠進行即時的流量分析與封包記錄,透過比對預設的規則庫,它可以精準地偵測出緩衝區溢位、隱身埠掃描、CGI 攻擊、SMB 探測等多種惡意行為。
Snort 3(代號 Snort++)是該專案的最新重大演進,採用了多執行緒架構,大幅提升了處理效能,並簡化了規則語法。它不僅是一個工具,更是一個強大的引擎,能夠在偵測到威脅時採取自動化行動(如中斷連線),確保企業網路邊界的絕對安全。
核心特色:
- 三種運作模式:支援「嗅探器(Sniffer)」、「封包記錄器(Packet Logger)」及「網路入侵檢測(NIDS)」模式。
- 強大的規則引擎:擁有極其豐富且持續更新的社群規則(Community Rules)與官方規則,應對最新威脅。
- 高度可擴展性:支援預處理器與動態檢測插件,可針對加密流量或特定協議進行深度解析。
- 業界標準相容:生成的日誌格式(如 PCAP)與大多數安全分析工具(如 Wireshark, Splunk)完美相容。
常用指令
Snort 3 引入了全新的命令行介面,以下是進行基礎測試與運作的常用指令:
流量監測與規則測試
# 檢查設定檔是否正確
snort -c /usr/local/etc/snort/snort.lua
# 在指定介面以偵測模式執行(顯示簡報)
snort -c /usr/local/etc/snort/snort.lua -i eth0 -A alert_fast
# 讀取 PCAP 檔案進行離線分析
snort -c /usr/local/etc/snort/snort.lua -r test_traffic.pcap
# 顯示目前的版本資訊與編譯模組
snort -V
| 管理組件 | 功能說明 | 適用情境 |
|---|---|---|
| PulledPork | 規則庫自動更新工具 | 確保防禦規則始終保持最新 |
| Barnyard2 | 異步日誌處理器 | 減輕 Snort 寫入資料庫的壓力 |
| Snorby | 圖形化報表介面 | 視覺化監控攻擊警告與趨勢 |
| Lua Config | Snort 3 的新配置格式 | 進行更靈活、程式化的系統設定 |
進階技巧
Inline 模式 (IPS):配合
DAQ(Data Acquisition library),Snort 可以直接串接在網路路徑中,主動丟棄(Drop)偵測到的惡意封包。自定義規則開發:使用者可以根據內部應用程式的特性,編寫特定的自定義規則來防禦零日漏洞(Zero-day)或內部威脅。
流量平衡:藉由多執行緒支援,Snort 3 能在現代多核心伺服器上實現負載平衡,輕鬆處理數 Gbps 等級的高速網路流量。
操作介面
