荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: georgehill (清风浮云 人生), 信区: Linux
标 题: snort源码分析(1)(转寄)
发信站: BBS 荔园晨风站 (Tue Oct 10 08:38:55 2000), 站内信件
【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: shuke (莫失莫忘), 信区: Security
标 题: snort源码分析(1)(转寄)
发信站: BBS 水木清华站 (Sun Oct 8 11:39:33 2000)
首先对snort做一个概括的评论。
从工作原理而言,snort是一个NIDS。[注:基于网络的入侵检测系统(NIDS)
在网络的一点被动地检查原始的网络传输数据。通过分析检查的数据包,NIDS匹
配入侵行为的特征或者从网络活动的角度检测异常行为。] 网络传输数据的采集
利用了工具包libpcap。snort对libpcap采集来的数据进行分析,从而判断是否
存在可疑的网络活动。
从检测模式而言,snort基本上是误用检测(misuse detection)。[注:该方
法对已知攻击的特征模式进行匹配,包括利用工作在网卡混杂模式下的嗅探器被动
地进行协议分析,以及对一系列数据包解释分析特征。顺便说一句,另一种检测是
异常检测(anomaly detection)。]具体实现上,仅仅是对数据进行最直接最简单
的搜索匹配,并没有涉及更复杂的入侵检测办法。
尽管snort在实现上没有什么高深的检测策略,但是它给我们提供了一个非常
优秀的公开源代码的入侵检测系统范例。我们可以通过对其代码的分析,搞清IDS
究竟是如何工作的,并在此基础上添加自己的想法。
snort的编程风格非常优秀,代码阅读起来并不困难,整个程序结构清晰,函
数调用关系也不算复杂。但是,snort的源文件不少,函数总数也很多,所以不太
容易讲清楚。因此,最好把代码完整看一两遍,能更清楚点。
--
垆边人似月,皓腕凝霜雪
※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.69.59]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.115]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店