Snort
Snort — свободное сетевое средство обнаружения вторжений (NIDS) и система предотвращения вторжений (NIPS). Программа работает с трафиком IP-сетей в реальном времени: может вести протоколирование IP-пакетов и анализировать данные для выявления атак. Наиболее широко Snort используется как система предотвращения атак для их автоматической блокировки. Первоначально Snort был разработан Мартином Рёшем и затем развивался компанией Sourcefire, которую в октябре 2013 года приобрела Cisco. В 2009 году Snort был включён в Open Source Hall of Fame журнала InfoWorld как одна из лучших программ в истории свободного ПО[2]. Маскот Snort — поросёнок с большой хрюкающей (англ. snort) мордой.
Общие сведения
| Snort | |
|---|---|
| Тип | система обнаружения вторжений |
| Разработчики | Cisco Systems (с 2013; ранее Sourcefire) |
| Написана на | C |
| Операционная система | мультиплатформенная |
| Аппаратная платформа | кроссплатформенность |
| Последняя версия | 3.10.2.0 (22 января 2026[1]) |
| Репозиторий | github.com/snort3/snort3 |
| Лицензия | GPL |
| Сайт | snort.org |
Возможности
Snort непосредственно анализирует весь сетевой трафик, проходящий через сетевой интерфейс. Содержимое потока пакетов данных сопоставляется со множеством известных сигнатур атак, которые представлены в виде правил («rules»). Для сопоставления шаблонов Snort использует алгоритм Ахо—Корасик. Количество сигнатур для Snort достигает нескольких тысяч; поскольку регулярно появляются новые методы атак на компьютеры и сети, коллекцию сигнатур (аналогично антивирусам) рекомендуется часто обновлять.
Snort применяется для активной блокировки атак и пассивного обнаружения различных видов угроз. Возможна интеграция с такими инструментами, как BASE, Sguil, OSSIM, SnortSnarf и Snorby — для удобного управления системой и визуализации событий.
Snort позволяет обнаруживать эксплойты и атаки на уязвимости сетевого ПО. Система анализирует протоколы и содержимое пакетов для пассивного выявления угроз: буферные переполнения, сканирование портов, атаки на web-приложения, SMB-запросы и другие.
Многие атаки осуществляются через специальные программы — эксплойты и сетевые черви (например, Sasser, W32.Blaster), которые могут использовать встроенные бэкдоры для последующего внедрения. При обнаружении подобных атак Snort может поднять тревогу и сохранить сетевые пакеты для последующего анализа.
Snort также поддерживает функции активного предотвращения атак. С помощью патчей (например, от Bleeding Edge Threats) возможно подключение ClamAV для антивирусной фильтрации сетевого трафика. Поддерживается сканирование аномалий с помощью SPADE на сетевых уровнях 3 и 4 (модели OSI), включая анализ истории соединений. По состоянию на 2010—2011 годы развитие некоторых патчей прекращено.
Snort может быть использован сетевыми администраторами как сниффер, аналогично tcpdump, с возможностью фильтрации трафика и расширенными опциями. Кроме того, программа позволяет записывать сетевой диалог между сервером и клиентом для дальнейшего анализа полезной нагрузки (payload) в виде сессий.
При кибершпионаже злоумышленники часто изменяют стандартные инструменты, чтобы избежать обнаружения существующими сигнатурами средств защиты (IPS/антивирусов). Если жертва всё же определяет атаку и её поставщик публикует новую сигнатуру, злоумышленник может найти по ней своё ПО и понять, какое именно средство его обнаружило.
Поэтому во многих странах ведомства, промышленные отрасли и организации (в том числе некоммерческие) — типичные цели IT-шпионажа — совместно обмениваются информацией о инцидентах в рамках SIIS-проектов. Правила, совместимые со Snort, де-факто стали стандартом для обмена IPS-сигнатурами.
Многие коммерческие компании и госструктуры, занимающиеся вопросами кибербезопасности, также специализируются на создании Snort-совместимых сигнатур.
Преимущество Snort в том, что его можно быстро внедрять на защищаемых объектах без сложных закупочных процедур, которые злоумышленники способны отслеживать. Зачастую Snort применяют в пассивном режиме, и атака может быть обнаружена, не выдав защиту. Это позволяет выявлять инфраструктуру атакующих и реагировать точечно.
История
Первая Unix-версия Snort вышла в 1998 году. Разработчик, Мартин Рёш, основал компанию Sourcefire, которая, помимо GPL-версии Snort, выпускала коммерческие варианты с расширенными функциями обнаружения и анализа. Sourcefire также предлагала корпоративные решения по сетевому мониторингу с собственным аппаратным обеспечением и поддержкой.
В октябре 2005 года компания Check Point, базирующаяся в Тель-Авиве (Израиль), попыталась купить Sourcefire; сумма сделки оценивалась в 225 миллионов долларов США. В начале 2006 года сделка не состоялась из-за возражений правительства США. В октябре 2013 года компания Cisco Systems объявила о завершении покупки Sourcefire[3][4][5].
Snort также подвержен уязвимостям. Например, весной 2003 года были обнаружены две возможности возникновения переполнения буфера.
Несмотря на схожесть названий, программа Airsnort не связана непосредственно со Snort, однако позаимствовала его логотип — того же поросёнка, но с крыльями.
Платформы и совместимость
Snort распространяется как свободная программа для различных платформ и операционных систем семейства Unix/Linux, а также Windows.
См. также
Примечания
Литература
- Ральф Спеннберг: Intrusion Detection und Prevention mit Snort 2 & Co. (с CD-ROM). Addison-Wesley, ноябрь 2005 и 20 декабря 2007, ISBN 3-8273-2134-4.
- Brian Caswell, Jay Beale, Andrew Baker: Snort Intrusion Detection and Prevention Toolkit. (Jay Beale’s Open Source Security c CD-ROM), Elsevier Science & Technology, 17 декабря 2006, ISBN 978-1-59749-099-3.
- Kerry J. Cox, Christopher Gerg: Managing Security with Snort & IDS Tools. 1-е издание, O’Reilly, август 2004, ISBN 0-596-00661-6 Демоверсия
- Peer Heinlein, Thomas Bechtold: Snort, Acid & Co. Open Source Press, июнь 2004, ISBN 3-937514-03-1.
Ссылки
- http://snort.org/ — официальный сайт
- http://sourcefire.com/ — разработчик Snort
- http://www.emergingthreats.net/ — сообщество по правилам Snort
- http://www.security-insider.de/themenbereiche/applikationssicherheit/security-tools/articles/120016/ — обзор Snort как IDS/IPS
- Snort-IDS обнаруживает попытки вторжений (нем.), ADMIN-Magazin, Linux New Media AG. Дата обращения: 22 июня 2024.
- Snorby — https://github.com/Snorby/snorby/wiki — современный веб-фронтенд для Snort на Ruby on Rails
- http://sguil.sourceforge.net/ — интерфейс на Tcl/Tk
- http://www.activeworx.org/ — IDS Policy Manager, управление правилами
- http://dragos.com/cerebus/ — ncurses-браузер для логов Snort
- http://base.secureideas.net/ — Basic Analysis and Security Engine, веб-frontend
