Snort安裝使用中文手冊1.5 Snort 如何實現基本輸出
Snort完成了大量工作,并在完成后輸出一些有用的統計數據。其中許多是不言自明的。其他總結如下。這不包括所有可能的輸出數據,僅包括基礎知識。
1.5.1 時序統計
本節提供基本的時序統計信息。它包括總秒數和數據包以及數據包處理速率。速率基于整秒,分鐘等,并且僅在非零時顯示。
例:
================================================== ================
數據包處理的運行時間為175.856509秒
Snort處理了3716022個數據包
Snort運行了0天0小時2分鐘55秒
Pkts/分鐘:1858011
Pkts/秒:21234
================================================== ================
1.5.2 數據包I / O總計
本節顯示了從DAQ獲得的基本數據包獲取和注入掛鉤計數。如果要讀取pcap,則總計為所有pcap的總和,除非您使用-pcap-reset,在這種情況下,每個pcap都會顯示該總數。
- 未完成表示緩沖了等待處理的數據包數量。每個DAQ的計數方式各不相同,因此應查閱DAQ文檔以獲取更多信息。
- 未顯示pcap DAQ的已過濾數據包。
- 注入的數據包是主動響應的結果,可以將其配置為串聯或被動模式。
例:
================================================== ================
數據包I / O總計:
收到:3716022
分析:3716022(100.000%)
減少:0(0.000%)
已過濾:0(0.000%)
優秀:0(0.000%)
注入:0
================================================== ================
1.5.3 協議統計
細分部分總結了Snort解碼的所有協議的流量。如果啟用了預處理器(例如frag3和stream5),則此流量包括內部“偽數據包”,因此總數可能大于數據包I / O部分中已分析數據包的數量。
- 由于基本的編碼完整性缺陷會阻止Snort解碼數據包,因此光盤計數被丟棄。
- 其他包括包含Snort不解碼的封裝的數據包。
- S5 G 1/2是由于高速緩存限制,會話超時,會話重置而刷新的客戶機/服務器會話stream5的數量。
例:
================================================== =================
按協議細分(包括重建的數據包):
Eth:3722347(100.000%)
VLAN:0(0.000%)
IP4:1782394(47.884%)
Frag:3839(0.103%)
ICMP:38860(1.044%)
UDP:137162(3.685%)
TCP:1619621(43.511%)
IP6:1781159(47.850%)
IP6 Ext:1787327(48.016%)
IP6 Opts:6168(0.166%)
Frag6:3839(0.103%)
ICMP6:1650(0.044%)
UDP6:140446(3.773%)
TCP6:1619633(43.511%)
Teredo:18(0.000%)
ICMP-IP:0(0.000%)
EAPOL:0(0.000%)
IP4 / IP4:0(0.000%)
IP4 / IP6:0(0.000%)
IP6 / IP4:0(0.000%)
IP6 / IP6:0(0.000%)
GRE:202(0.005%)
GRE Eth:0(0.000%)
GRE VLAN:0(0.000%)
GRE IP4:0(0.000%)
GRE IP6:0(0.000%)
GRE IP6 Ext:0(0.000%)
GRE PPTP:202(0.005%)
GRE ARP:0(0.000%)
GRE IPX:0(0.000%)
GRE Loop:0(0.000%)
MPLS:0(0.000%)
ARP:104840(2.817%)
IPX:60(0.002%)
Eth Loop:0(0.000%)
Eth Disc:0(0.000%)
IP4 Disc:0(0.000%)
IP6 Disc:0(0.000%)
TCP Disc:0(0.000%)
UDP Disc:1385(0.037%)
ICMP Disc:0(0.000%)
All Discard:1385(0.037%)
Other:57876(1.555%)
Bad Chk Sum:32135(0.863%)
Bad TTL:0(0.000%)
S5 G 1:1494(0.040%)
S5 G 2:1654(0.044%)
Total:3722347
================================================== ================
1.5.4 Snort內存統計
在具有mallinfo(3)的系統上,您將看到其他統計信息。檢查mallinfo的手冊頁以獲取詳細信息
例:
================================================== =================
內存使用情況摘要:
未映射的字節總數(區域):415481856
映射區域中的字節數(hblkhd):409612288
已分配的總空間(單位):92130384
總可用空間(fordblks):323351472
最上面的可釋放塊(保持成本):3200
================================================== =================
1.5.5 行動,限制和判決
動作和判定計數表明Snort對所分析的數據包做了什么。僅在IDS模式下輸出此信息(使用-c <conf>選項運行snort時 )。
- 警報是警報的數量,由規則操作確定處理的阻止操作。此處的阻止包括阻止,刪除和拒絕操作。
由于現實世界對處理時間和可用內存的限制,因此出現了限制。這些指示未發生的潛在操作:
- 由于
配置檢測:max_queue_events設置,未處理“匹配限制計數”規則匹配 。默認值為5。 - 由于
配置event_queue:max_queue設置,隊列限制計數事件無法存儲在事件隊列中。預設值為8。 - 由于
配置event_queue:日志設置,未記錄日志限制計數事件 。預設值為3。 - 由于
event_filter限制,“事件限制”對未發出警報的事件進行計數 。 - 警報限制計數事件未發出警報,因為它們已在會話中觸發。
Snort在每個數據包上做出判決:
- 允許=分析Snort的數據包,未對其采取任何措施。
- 阻止=數據包Snort沒有轉發,例如由于阻止規則。使用“阻止”代替“丟棄”,以避免丟棄的數據包(實際上沒有看到Snort的數據包)和阻止的數據包(不允許Snort通過的數據包)之間的混淆。
- 替換=數據包Snort修改,例如,由于規范化或替換規則。這只能在具有兼容DAQ的串聯模式下發生。
- 白名單=導致Snort允許流通過任何分析程序而沒有通過檢查的數據包。像黑名單一樣,這是由DAQ或Snort對后續數據包進行的。
- 黑名單=導致Snort阻止流量通過的數據包。阻止TCP規則觸發時就是這種情況。如果DAQ在硬件中支持此功能,則Snort在該會話中將看不到其他數據包。否則,snort將阻止每個數據包,并且此計數將更高。
- 忽略=導致Snort通過此Snort實例允許流通過/不進行檢查的數據包。像黑名單一樣,這是由DAQ或Snort對后續數據包進行的。
- Int Blklst =被封裝的GTP,Teredo,6in4或4in6封裝的數據包。如果為給定協議設置了
config tunnel_verdicts,則這些數據包可能會獲得黑名單判決。注意,只有非零時才輸出這些計數。同樣,此計數在發出警報的流中的第一個數據包上增加。流中的警報數據包和所有后續數據包將計入“塊”下。 - Int Whtlst =允許封裝為GTP,Teredo,6in4或4in6的數據包。如果為給定協議設置了
config tunnel_verdicts,則這些數據包可能獲得白名單判決。注意,只有非零時才輸出這些計數。同樣,從警報包開始,對于流上的所有包,此計數都會增加。
例:
================================================== ==============
動作統計:
警報:0(0.000%)
記錄:0(0.000%)
通過:0(0.000%)
限制:
匹配:0
列:0
日志:0
事件:0
警報:0
判決:
允許:3716022(100.000%)
阻止:0(0.000%)
替換:0(0.000%)
白名單:0(0.000%)
黑名單:0(0.000%)
忽略:0(0.000%)
================================================== ================
推薦文章: