展开snort压缩包

展开snort压缩包 展开snort压缩包，有约50个c程序和头文件，另有约30个其它文件(、数据或者说明文件)。下面对源代码文件分组说明。 snort.c(.h)是主程序所在的文件，实现了main和一系列辅助函数。 decode.c(.h)把数据包层层剥开，确定该包属于何种协议，有什么特征。并 标记到全局结构变量pv中。 log.c(.h)实现日志和报警功能。snort有多种日志格式，一种是按tcpdump二进制的格式存储，另一种按snort编码的ascii格式存储在日志目录下，日志目录的名字根据"外"主机的ip地址命名。报警有不同的级别和方式，可以到syslog中，或者记录到用户指定的文件，另外还可以通过unix socket发送报警消息，以及利用SMB向Windows系统发送winpopup消息。 mstring.c(.h)实现字符串匹配算法。在snort中，采用的是Boyer-Moore算法。算法书上一般都有。 plugbase.c(.h)实现了初始化以及登记检测规则的一组函数。snort中的检测规则以链的形式存储，每条规则通过登记(Register)过程添加到链表中。 response.c(.h)进行响应，即向攻击方主动发送数据包。这里实现了两种响应。一种是发送ICMP的主机 不可到达的假信息，另一种针对TCP，发送RST包，断开连接。 rule.c(.h)实现了规则设置和入侵检测所需要的函数。规则设置主要的作用是 把一个规则文件转化为实际运作中的规则链表。检测函数根据规则实施攻击特征的检测。 sp_*_check.c(.h)是不同类型的检测规则的具体实现。很容易就可以从文件名得知所实现的规则。例如， sp_dsize_check针对的是包的数据大小， sp_icmp_type_check针对icmp包的类型，sp_tcp_flag_check针对tcp包的标志位。不再详述。 spo_*.c(.h)实现输出(output)规则。spo_alert_syslog把事件记录到syslog中;spo_log_tcpdump利用libpcap中的日志函数，进行日志记录。 spp_*.c(.h)实现预处理(preprocess)规则。包括http解码(即把http请求中的%XX这样的字符用对应的ascii字符代替，避免忽略了恶意的请求)、最小片断检查(避免恶意利用tcp协议中重组的功能)和端口扫描检测。 nort 是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统(NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作，一个优秀的轻量级的 NIDS应该具备跨系统平台操作，对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应，更为重要的是能够成为整体安全结构的重要成员。 就检测攻击的种类来说，snort共有21类1271条检测规则，其中包括对缓冲区溢出，端口扫描和CGI攻击等等。 SNORT集成了多种告警机制来提供实时告警功能，包括:syslog、用户指定文件、UNIXSocket、通过SMBClient使用WinPopup对Windows客户端告警。 snort的结构主要分为三个部分 (1)数据包捕获和解析子系统(Capture Packet Mechanism from link layer and the packet decoder ) (2)检测引擎(the detect engine) (3)触发警报 我们就分工一下吧，周慧看看第一部分，金舒婷看看第二部分，王丽君看看第三部分。检测的部分零散一些我跟金舒婷一起看看。 咱是主要看各自的部分，但也需了解一些别的部分。看不是自己的部分的时候遇到不懂的就去问看这部分的。多查资 料，问老大等等。没事就去六楼就行。没人的话就给老大打电话要钥匙，有时他也把钥匙放在我这。自己控制进度就行，别忘了每周五下午的汇报，做成文档，便于保存。就这些，ok!