.\" Process this file with .\" groff -man -Tascii snort.8 .\" .\" $Id: snort.8,v 1.7 2001/01/02 19:52:10 roesch Exp $ .\" french translation by Denis Ducamp .TH SNORT 8 "January 2001" .SH NOM Snort \- système de détection d'intrusion en sources ouvertes .SH RESUME .B snort [-abCdDeINopqsvVxX?] [-A .I alert-mode .B ] [-c .I rules-file .B ] [-F .I bpf-file .B ] [-g .I grpname .B ] [-h .I home-net .B ] [-i .I interface .B ] [-l .I log-dir .B ] [-L .I bin-log-file .B ] [-M .I smb-hosts-file .B ] [-n .I packet-count .B ] [-r .I tcpdump-file .B ] [-S .I n=v .B ] [-t .I chroot_directory .B ] [-u .I usrname .B ] .I expression .SH DESCRIPTION .B Snort est un système de détection d'intrusion réseau en sources ouvertes, capable d'effectuer l'analyse du trafic en temps réel et de la journalisation de paquets sur des réseaux IP. Il peut effectuer de l'analyse de protocoles, de la recherche / correspondance de contenu et peut être utilisé pour détecter une variété d'attaques et de scans, tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'OS, et bien plus. Snort utilise un langage de règles flexible pour décrire le trafic qu'il devrait collecter ou laisser passer, ainsi qu'un moteur de détection qui utilise une architecture modulaire de plugin. Snort possède aussi des capacités modulaires d'alertes temps réel, incorporant des plugins d'alerte et de journalisation pour syslog, de fichiers textes en ASCII, de sockets UNIX, de messages WinPopup à des clients Windows en utilisant smbclient de Samba, de base de données (Mysql/PostgreSQL/Oracle/ODBC) ou XML. .PP Snort a trois utilisations principales. Il peut être utilisé comme un simple renifleur de paquets comme .BR tcpdump (1), un enregistreur de paquets (utile pour déboguer le trafic réseau, etc), ou comme un complet système de détection d'intrusion réseau. .PP Snort journalise les paquets dans le format binaire .BR tcpdump (1) , vers une base de données ou dans le format ASCII décodé de Snort vers une "hiérarchie" de répertoires de journalisation qui sont nommés d'après l'adresse IP du système "étranger". .SH OPTIONS .IP "-A alert-mode" Alerte en utilisant le mode d'alerte spécifié .I alert-mode. Les modes d'alerte valides incluent .B fast, full, none, et .B unsock. .B Fast imprime les alertes dans le fichier "alert" par défaut un message d'alerte sur une ligne unique, dans un style syslog. .B Full imprime l'alerte dans le fichier "alert" avec l'entête décodée complète ainsi que le message d'alerte. .B None désactive les alertes. .B Unsock est un mode expérimental qui envoie les informations d'alerte dans une socket UNIX à un autre processus qui s'attache a cette socket. .IP -a Affiche les paquets ARP en décodant les paquets. .IP -b Journalise les paquets dans un fichier au format .BR tcpdump (1) Tous les paquets sont journalisés dans leur état natif binaire vers un fichier journal au format tcpdump nommé avec l'horaire de démarrage de snort et "snort.log". Cette option résulte dans un fonctionnement bien plus rapide du programme puisqu'il n'a plus à dépenser du temps dans la conversion binaire->texte du paquet. Snort peut supporter assez bien les réseaux 100Mbps dans le mode "-b". Pour choisir un nom de fichier alternatif pour le fichier de journalisation binaire, utilisez l'option "-L". .IP "-c config-file" Utilise les règles localisées dans le fichier .I config-file. .IP -C Imprime seulement les caractères des données dans la charge des paquets (pas d'affichage hexadécimal). .IP -d Affiche les données du niveau applicatif en affichant les paquets en modes verbeux ou d'enregistrement de paquets. .IP -D Exécute Snort en mode démon. Les alertes sont envoyées à /var/log/snort/alert à moins de le spécifier autrement. .IP -e Affiche/journalise les entêtes des paquets au niveau liaison de données. .IP "-F bpf-file" Lit les filtres BPF depuis le fichier .I bpf-file. Ceci est pratique pour les personnes qui exécutent Snort comme un remplacement de SHADOW ou avec des filtres BPF super complexes. Voir la section "expressions" de cette page de manuel pour plus d'informations sur l'écriture de filtres BPF. .IP "-g " Change le GID (ndt : groupe) avec lequel Snort fonctionne en après initialisation. Cette option permet à Snort de laisser tomber les privilèges root après avoir complété la phase d'initialisation comme une mesure de sécurité. .IP "-h home-net" Fixe le "réseau local" à .I home-net. Le format de cette variable d'adresse est un préfixe réseau plus un block CIDR, tel que 192.168.1.0/24. Une fois que cette variable est fixée, tous les enregistrements de paquets décodés seront faits relativement à l'espace d'adressage du réseau local. Ceci est utile à cause de la façon où Snort formate ses données journalisées en ASCII. Avec cette valeur fixée comme réseau local, toutes les sorties décodées seront journalisées dans les répertoires de décodage avec l'adresse de l'ordinateur distant comme nom de répertoire, ce qui est très utile durant l'analyse du trafic. .IP "-i interface" Écoute les paquets sur l' .I interface. .IP "-I" Imprime le nom de l'interface réceptrice dans les alertes. .IP "-l log-dir" Fixe le répertoire de journalisation de sortie à .I log-dir. Toutes les alertes en texte simple et les enregistrements de paquets vont dans ce répertoire. Si cette option n'est pas spécifiée, le répertoire de journalisation par défaut est fixe à /var/log/snort . .IP "-L binary-log-file" Fixe le nom du fichier de journalisation binaire à .I binary-log-file. Si cette option n'est pas utilisée, le nom par défaut est l'horaire auquel le fichier a été créé plus "snort.log". .IP "-M smb-hosts-file" Envoie des messages WinPopup à la liste des stations contenues dans le fichier .I smb-hosts-file . Cette option requière que Samba soit résident et dans le chemin de recherche d'exécution du système qui exécute Snort. Le fichier des stations est simple : chaque ligne contient le nom SMB de la boite à laquelle envoyer le message. .IP "-n packet-count" Traite .I packet-count paquets et quitte. .IP -N Désactive la journalisation de paquets. Le programme génère toujours des alertes normalement. .IP -o Change l'ordre dans lequel les règles sont appliquées aux paquets. Au lieu d'être appliquées dans l'ordre standard Alert->Pass->Log , ceci appliquera l'ordre Pass->Alert->Log . .IP -O Obscurci l'adresse IP dans le mode d'affichage de paquets en ASCII. Cette option change l'adresse IP qui est imprimée a l'écran/fichier journal en "xxx.xxx.xxx.xxx". Si l'adresse du réseau local est fixée (-h), seulement les adresses du réseau local seront obscurcies alors que les IP non locales seront visibles. Parfait pour poster à votre mailing liste de sécurité favorite ! .IP -p Désactive l'écoute en mode promiscuous. .IP "-q" Opération muette. N'affiche pas la bannière et les informations d'initialisation. .IP "-r tcpdump-file" Lit le fichier au format tcpdump .I tcpdump-file. Ceci fait lire et traiter à Snort le fichier qui lui est fourni. C'est utile si, par exemple, vous avez un ensemble de fichiers SHADOW dont vous voulez traiter le contenu, ou même si vous avez un ensemble de fragments de paquets réassemblés qui ont été écrits dans un fichier au format tcpdump. .IP -s Envoie les messages d'alertes à syslog. Sur les boîtiers Linux, ils apparaîtront dans /var/log/secure, /var/log/messages sur de nombreuses plates-formes. .IP "-S n=v" Fixe la variable nommée "n" à la valeur "v". C'est utile pour fixer les valeurs d'un nom de variable défini dans le fichier de règles de Snort à une valeur spécifiée sur la ligne de commande. Par exemple, si vous définissez un nom de variable HOME_NET à l'intérieur d'un fichier de règles Snort, vous pouvez fixer cette valeur par la valeur prédéfinie sur la ligne de commande. .IP "-t chroot" Change le répertoire racine de Snort en .I chroot après l'initialisation. Merci de noter que tous les noms de journaux et d'alertes sont relatifs au répertoire chroot si chroot est utilisé. .IP "-u uname" Change l'UID (ndt : utilisateur) avec lequel Snort fonctionne en .I uname après initialisation. .IP -v Soit verbeux. Imprime les paquets à la console. Il y a un gros problème avec le mode verbeux : il est lent. Si vous travaillez sur de l'IDS avec Snort, n'utilisez pas l'option -v, vous allez manquer des paquets. .IP -V Montre le numéro de version et quitte. .IP -X Affiche les données du paquet brut en commençant au niveau des liaisons de données. Cette option l'emporte sur l'option -d. .IP -? Montre les commandes d'utilisation du programme et quitte. .IP "\fI expression\fP" .RS selects which packets will be dumped. If no \fIexpression\fP is given, all packets on the net will be dumped. Otherwise, only packets for which \fIexpression\fP is `true' will be dumped. .LP The \fIexpression\fP consists of one or more .I primitives. Primitives usually consist of an .I id (name or number) preceded by one or more qualifiers. There are three different kinds of qualifier: .IP \fItype\fP qualifiers say what kind of thing the id name or number refers to. Possible types are .BR host , .B net and .BR port . E.g., `host foo', `net 128.3', `port 20'. If there is no type qualifier, .B host is assumed. .IP \fIdir\fP qualifiers specify a particular transfer direction to and/or from .I id. Possible directions are .BR src , .BR dst , .B "src or dst" and .B "src and" .BR dst . E.g., `src foo', `dst net 128.3', `src or dst port ftp-data'. If there is no dir qualifier, .B "src or dst" is assumed. For `null' link layers (i.e. point to point protocols such as slip) the .B inbound and .B outbound qualifiers can be used to specify a desired direction. .IP \fIproto\fP qualifiers restrict the match to a particular protocol. Possible protos are: .BR ether , .BR fddi , .BR ip , .BR arp , .BR rarp , .BR decnet , .BR lat , .BR sca , .BR moprc , .BR mopdl , .B tcp and .BR udp . E.g., `ether src foo', `arp net 128.3', `tcp port 21'. If there is no proto qualifier, all protocols consistent with the type are assumed. E.g., `src foo' means `(ip or arp or rarp) src foo' (except the latter is not legal syntax), `net bar' means `(ip or arp or rarp) net bar' and `port 53' means `(tcp or udp) port 53'. .LP [`fddi' is actually an alias for `ether'; the parser treats them identically as meaning ``the data link level used on the specified network interface.'' FDDI headers contain Ethernet-like source and destination addresses, and often contain Ethernet-like packet types, so you can filter on these FDDI fields just as with the analogous Ethernet fields. FDDI headers also contain other fields, but you cannot name them explicitly in a filter expression.] .LP In addition to the above, there are some special `primitive' keywords that don't follow the pattern: .BR gateway , .BR broadcast , .BR less , .B greater and arithmetic expressions. All of these are described below. .LP More complex filter expressions are built up by using the words .BR and , .B or and .B not to combine primitives. E.g., `host foo and not port ftp and not port ftp-data'. To save typing, identical qualifier lists can be omitted. E.g., `tcp dst port ftp or ftp-data or domain' is exactly the same as `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'. .LP Allowable primitives are: .IP "\fBdst host \fIhost\fR" True if the IP destination field of the packet is \fIhost\fP, which may be either an address or a name. .IP "\fBsrc host \fIhost\fR" True if the IP source field of the packet is \fIhost\fP. .IP "\fBhost \fIhost\fP True if either the IP source or destination of the packet is \fIhost\fP. Any of the above host expressions can be prepended with the keywords, \fBip\fP, \fBarp\fP, or \fBrarp\fP as in: .in +.5i .nf \fBip host \fIhost\fR .fi .in -.5i which is equivalent to: .in +.5i .nf \fBether proto \fI\\ip\fB and host \fIhost\fR .fi .in -.5i If \fIhost\fR is a name with multiple IP addresses, each address will be checked for a match. .IP "\fBether dst \fIehost\fP True if the ethernet destination address is \fIehost\fP. \fIEhost\fP may be either a name from /etc/ethers or a number (see .IR ethers (3N) for numeric format). .IP "\fBether src \fIehost\fP True if the ethernet source address is \fIehost\fP. .IP "\fBether host \fIehost\fP True if either the ethernet source or destination address is \fIehost\fP. .IP "\fBgateway\fP \fIhost\fP True if the packet used \fIhost\fP as a gateway. I.e., the ethernet source or destination address was \fIhost\fP but neither the IP source nor the IP destination was \fIhost\fP. \fIHost\fP must be a name and must be found in both /etc/hosts and /etc/ethers. (An equivalent expression is .in +.5i .nf \fBether host \fIehost \fBand not host \fIhost\fR .fi .in -.5i which can be used with either names or numbers for \fIhost / ehost\fP.) .IP "\fBdst net \fInet\fR" True if the IP destination address of the packet has a network number of \fInet\fP. \fINet\fP may be either a name from /etc/networks or a network number (see \fInetworks(4)\fP for details). .IP "\fBsrc net \fInet\fR" True if the IP source address of the packet has a network number of \fInet\fP. .IP "\fBnet \fInet\fR" True if either the IP source or destination address of the packet has a network number of \fInet\fP. .IP "\fBnet \fInet\fR \fBmask \fImask\fR" True if the IP address matches \fInet\fR with the specific netmask. May be qualified with \fBsrc\fR or \fBdst\fR. .IP "\fBnet \fInet\fR/\fIlen\fR" True if the IP address matches \fInet\fR a netmask \fIlen\fR bits wide. May be qualified with \fBsrc\fR or \fBdst\fR. .IP "\fBdst port \fIport\fR" True if the packet is ip/tcp or ip/udp and has a destination port value of \fIport\fP. The \fIport\fP can be a number or a name used in /etc/services (see .IR tcp (4P) and .IR udp (4P)). If a name is used, both the port number and protocol are checked. If a number or ambiguous name is used, only the port number is checked (e.g., \fBdst port 513\fR will print both tcp/login traffic and udp/who traffic, and \fBport domain\fR will print both tcp/domain and udp/domain traffic). .IP "\fBsrc port \fIport\fR" True if the packet has a source port value of \fIport\fP. .IP "\fBport \fIport\fR" True if either the source or destination port of the packet is \fIport\fP. Any of the above port expressions can be prepended with the keywords, \fBtcp\fP or \fBudp\fP, as in: .in +.5i .nf \fBtcp src port \fIport\fR .fi .in -.5i which matches only tcp packets whose source port is \fIport\fP. .IP "\fBless \fIlength\fR" True if the packet has a length less than or equal to \fIlength\fP. This is equivalent to: .in +.5i .nf \fBlen <= \fIlength\fP. .fi .in -.5i .IP "\fBgreater \fIlength\fR" True if the packet has a length greater than or equal to \fIlength\fP. This is equivalent to: .in +.5i .nf \fBlen >= \fIlength\fP. .fi .in -.5i .IP "\fBip proto \fIprotocol\fR" True if the packet is an ip packet (see .IR ip (4P)) of protocol type \fIprotocol\fP. \fIProtocol\fP can be a number or one of the names \fIicmp\fP, \fIigrp\fP, \fIudp\fP, \fInd\fP, or \fItcp\fP. Note that the identifiers \fItcp\fP, \fIudp\fP, and \fIicmp\fP are also keywords and must be escaped via backslash (\\), which is \\\\ in the C-shell. .IP "\fBether broadcast\fR" True if the packet is an ethernet broadcast packet. The \fIether\fP keyword is optional. .IP "\fBip broadcast\fR" True if the packet is an IP broadcast packet. It checks for both the all-zeroes and all-ones broadcast conventions, and looks up the local subnet mask. .IP "\fBether multicast\fR" True if the packet is an ethernet multicast packet. The \fIether\fP keyword is optional. This is shorthand for `\fBether[0] & 1 != 0\fP'. .IP "\fBip multicast\fR" True if the packet is an IP multicast packet. .IP "\fBether proto \fIprotocol\fR" True if the packet is of ether type \fIprotocol\fR. \fIProtocol\fP can be a number or a name like \fIip\fP, \fIarp\fP, or \fIrarp\fP. Note these identifiers are also keywords and must be escaped via backslash (\\). [In the case of FDDI (e.g., `\fBfddi protocol arp\fR'), the protocol identification comes from the 802.2 Logical Link Control (LLC) header, which is usually layered on top of the FDDI header. \fITcpdump\fP assumes, when filtering on the protocol identifier, that all FDDI packets include an LLC header, and that the LLC header is in so-called SNAP format.] .IP "\fBdecnet src \fIhost\fR" True if the DECNET source address is .IR host , which may be an address of the form ``10.123'', or a DECNET host name. [DECNET host name support is only available on Ultrix systems that are configured to run DECNET.] .IP "\fBdecnet dst \fIhost\fR" True if the DECNET destination address is .IR host . .IP "\fBdecnet host \fIhost\fR" True if either the DECNET source or destination address is .IR host . .IP "\fBip\fR, \fBarp\fR, \fBrarp\fR, \fBdecnet\fR" Abbreviations for: .in +.5i .nf \fBether proto \fIp\fR .fi .in -.5i where \fIp\fR is one of the above protocols. .IP "\fBlat\fR, \fBmoprc\fR, \fBmopdl\fR" Abbreviations for: .in +.5i .nf \fBether proto \fIp\fR .fi .in -.5i where \fIp\fR is one of the above protocols. Note that \fISnort\fP does not currently know how to parse these protocols. .IP "\fBtcp\fR, \fBudp\fR, \fBicmp\fR" Abbreviations for: .in +.5i .nf \fBip proto \fIp\fR .fi .in -.5i where \fIp\fR is one of the above protocols. .IP "\fIexpr relop expr\fR" True if the relation holds, where \fIrelop\fR is one of >, <, >=, <=, =, !=, and \fIexpr\fR is an arithmetic expression composed of integer constants (expressed in standard C syntax), the normal binary operators [+, -, *, /, &, |], a length operator, and special packet data accessors. To access data inside the packet, use the following syntax: .in +.5i .nf \fIproto\fB [ \fIexpr\fB : \fIsize\fB ]\fR .fi .in -.5i \fIProto\fR is one of \fBether, fddi, ip, arp, rarp, tcp, udp, \fRor \fBicmp\fR, and indicates the protocol layer for the index operation. The byte offset, relative to the indicated protocol layer, is given by \fIexpr\fR. \fISize\fR is optional and indicates the number of bytes in the field of interest; it can be either one, two, or four, and defaults to one. The length operator, indicated by the keyword \fBlen\fP, gives the length of the packet. For example, `\fBether[0] & 1 != 0\fP' catches all multicast traffic. The expression `\fBip[0] & 0xf != 5\fP' catches all IP packets with options. The expression `\fBip[6:2] & 0x1fff = 0\fP' catches only unfragmented datagrams and frag zero of fragmented datagrams. This check is implicitly applied to the \fBtcp\fP and \fBudp\fP index operations. For instance, \fBtcp[0]\fP always means the first byte of the TCP \fIheader\fP, and never means the first byte of an intervening fragment. .LP Primitives may be combined using: .IP A parenthesized group of primitives and operators (parentheses are special to the Shell and must be escaped). .IP Negation (`\fB!\fP' or `\fBnot\fP'). .IP Concatenation (`\fB&&\fP' or `\fBand\fP'). .IP Alternation (`\fB||\fP' or `\fBor\fP'). .LP Negation has highest precedence. Alternation and concatenation have equal precedence and associate left to right. Note that explicit \fBand\fR tokens, not juxtaposition, are now required for concatenation. .LP If an identifier is given without a keyword, the most recent keyword is assumed. For example, .in +.5i .nf \fBnot host vs and ace\fR .fi .in -.5i is short for .in +.5i .nf \fBnot host vs and host ace\fR .fi .in -.5i which should not be confused with .in +.5i .nf \fBnot ( host vs or ace )\fR .fi .in -.5i .LP Expression arguments can be passed to Snort as either a single argument or as multiple arguments, whichever is more convenient. Generally, if the expression contains Shell metacharacters, it is easier to pass it as a single, quoted argument. Multiple arguments are concatenated with spaces before being parsed. .SH REGLES Snort utilise un langage de règles simple mais flexible pour décrire des signatures de paquets réseaux et les associer avec des actions. Le document actuel sur les règles peut être trouve sur http://www.snort.org/snort_rules.html . .SH NOTES Le signal suivant a l'effet spécifié quand il est envoyé au processus démon en utilisant la commande \fBkill(1)\fR : .PP .IP SIGHUP Cause le démon à fermer tous les fichiers ouverts et à redémarrer. Merci de \fBnoter\fR que ceci fonctionnera seulement si le chemin \fBcomplet\fR est utilise pour invoquer snort en mode démon, autrement snort quittera juste avec un message d'erreur envoyé à .B syslogd(8) . .PP .IP SIGUSR1 Cause le programme à imprimer les informations sur ses statistiques courantes sur les paquets vers la console ou vers .B syslogd(8) s'il est en mode démon. . .PP Tout autre signal cause le démon à fermer tous ses fichiers et à quitter. .SH HISTORIQUE .B Snort a été librement accessible sous la licence GPL depuis 1998. .SH DIAGNOSTICS .B Snort retourne 0 sur une terminaison réussie, 1 si il quitte sur une erreur. .SH BOGUES Envoyez les rapports de bogues à roesch@clark.net, snort-devel@lists.sourceforge.net .SH AUTEUR Martin Roesch .SH "VOIR AUSSI" .BR tcpdump (1), .BR pcap (3) .SH TRADUCTEUR Denis Ducamp