超级会员免费看
Snort使用与安装全解析
1. Snort基础问题解析
1.1 误报与漏报
Snort存在误报(False positives)和漏报(False negatives)问题。误报是指Snort在不应发出警告时发出了警告,使用默认规则集时会出现大量误报。这是因为宁可通过调整减少误报,也不能错过可能是关键攻击的数据。而漏报则是指有人入侵了Snort监控的系统,但Snort系统却未检测到,通常是由于规则集过时或出现了尚未编写特征码的新攻击导致的,所以要确保Snort规则集及时更新。
1.2 升级难题
升级Snort可能会很痛苦,原因主要有两个:一是规则集语法可能会改变,二是警报日志的接口可能会改变。在创建规则、读取日志和分析日志时,还可能会遇到一些管理方面的问题。编写自定义规则时,要确保规则按预期工作并进行测试;阅读和分析日志时,要让安全分析师能够准确识别误报和真正的问题。
1.3 安全考量
Snort系统本身容易受到攻击,包括Snort软件自身和底层操作系统。因为通常会通过SSH远程访问、将警报存储在数据库(如MySQL或Postgres)中,还可能使用Web服务器(如Apache或IIS)查看警报,这些监听服务都可能成为攻击面。为了保证Snort系统的安全性,需要采取以下措施:
- 关闭不必要的服务 :如Telnet、Berkeley R服务、FTP、NFS和NIS等,以及无用的服务,如echo、discard和chargen。
- 维护系统完整性 :可以使用Tripwire等免费软件检查隐藏的后门和特洛伊木马,还
订阅专栏 解锁全文
扫一扫
8
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
