SNORT(8) SNORT(8) NOM Snort - système de détection d'intrusion en sources ouvertes RESUME snort [-abCdDeINopqsvVxX?] [-A alert-mode ] [-c rules-file ] [-F bpf-file ] [-g grpname ] [-h home-net ] [-i inter­ face ] [-l log-dir ] [-L bin-log-file ] [-M smb-hosts-file ] [-n packet-count ] [-r tcpdump-file ] [-S n=v ] [-t chroot_directory ] [-u usrname ] expression DESCRIPTION Snort est un système de détection d'intrusion réseau en sources ouvertes, capable d'effectuer l'analyse du trafic en temps réel et de la journalisation de paquets sur des réseaux IP. Il peut effectuer de l'analyse de protocoles, de la recherche / correspondance de contenu et peut être utilisé pour détecter une variété d'attaques et de scans, tels que des débordements de tampons, des scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'OS, et bien plus. Snort utilise un lan­ gage de règles flexible pour décrire le trafic qu'il devrait collecter ou laisser passer, ainsi qu'un moteur de détection qui utilise une architecture modulaire de plu­ gin. Snort possède aussi des capacités modulaires d'alertes temps réel, incorporant des plugins d'alerte et de journalisation pour syslog, de fichiers textes en ASCII, de sockets UNIX, de messages WinPopup à des clients Windows en utilisant smbclient de Samba, de base de données (Mysql/PostgreSQL/Oracle/ODBC) ou XML. Snort a trois utilisations principales. Il peut être utilisé comme un simple renifleur de paquets comme tcp­ dump(1), un enregistreur de paquets (utile pour déboguer le trafic réseau, etc), ou comme un complet système de détection d'intrusion réseau. Snort journalise les paquets dans le format binaire tcp­ dump(1) , vers une base de données ou dans le format ASCII décodé de Snort vers une "hiérarchie" de répertoires de journalisation qui sont nommés d'après l'adresse IP du système "étranger". OPTIONS -A alert-mode Alerte en utilisant le mode d'alerte spécifié alert-mode. Les modes d'alerte valides incluent fast, full, none, et unsock. Fast imprime les alertes dans le fichier "alert" par défaut un mes­ sage d'alerte sur une ligne unique, dans un style syslog. Full imprime l'alerte dans le fichier "alert" avec l'entête décodée complète ainsi que le message d'alerte. None désactive les alertes. Unsock est un mode expérimental qui envoie les January 2001 1 SNORT(8) SNORT(8) informations d'alerte dans une socket UNIX à un autre processus qui s'attache a cette socket. -a Affiche les paquets ARP en décodant les paquets. -b Journalise les paquets dans un fichier au format tcpdump(1) Tous les paquets sont journalisés dans leur état natif binaire vers un fichier journal au format tcpdump nommé avec l'horaire de démarrage de snort et "snort.log". Cette option résulte dans un fonctionnement bien plus rapide du programme puisqu'il n'a plus à dépenser du temps dans la con­ version binaire->texte du paquet. Snort peut sup­ porter assez bien les réseaux 100Mbps dans le mode "-b". Pour choisir un nom de fichier alternatif pour le fichier de journalisation binaire, utilisez l'option "-L". -c config-file Utilise les règles localisées dans le fichier con­ fig-file. -C Imprime seulement les caractères des données dans la charge des paquets (pas d'affichage hexadécimal). -d Affiche les données du niveau applicatif en affichant les paquets en modes verbeux ou d'enreg­ istrement de paquets. -D Exécute Snort en mode démon. Les alertes sont envoyées à /var/log/snort/alert à moins de le spécifier autrement. -e Affiche/journalise les entêtes des paquets au niveau liaison de données. -F bpf-file Lit les filtres BPF depuis le fichier bpf-file. Ceci est pratique pour les personnes qui exécutent Snort comme un remplacement de SHADOW ou avec des filtres BPF super complexes. Voir la section "expressions" de cette page de manuel pour plus d'informations sur l'écriture de filtres BPF. -g Change le GID (ndt : groupe) avec lequel Snort fonctionne en après initialisation. Cette option permet à Snort de laisser tomber les privilèges root après avoir complété la phase d'initialisation comme une mesure de sécurité. -h home-net Fixe le "réseau local" à home-net. Le format de January 2001 2 SNORT(8) SNORT(8) cette variable d'adresse est un préfixe réseau plus un block CIDR, tel que 192.168.1.0/24. Une fois que cette variable est fixée, tous les enregistrements de paquets décodés seront faits relativement à l'espace d'adressage du réseau local. Ceci est utile à cause de la façon où Snort formate ses données journalisées en ASCII. Avec cette valeur fixée comme réseau local, toutes les sorties décodées seront journalisées dans les répertoires de décodage avec l'adresse de l'ordinateur distant comme nom de répertoire, ce qui est très utile durant l'analyse du trafic. -i interface Écoute les paquets sur l' interface. -I Imprime le nom de l'interface réceptrice dans les alertes. -l log-dir Fixe le répertoire de journalisation de sortie à log-dir. Toutes les alertes en texte simple et les enregistrements de paquets vont dans ce répertoire. Si cette option n'est pas spécifiée, le répertoire de journalisation par défaut est fixe à /var/log/snort . -L binary-log-file Fixe le nom du fichier de journalisation binaire à binary-log-file. Si cette option n'est pas utilisée, le nom par défaut est l'horaire auquel le fichier a été créé plus "snort.log". -M smb-hosts-file Envoie des messages WinPopup à la liste des sta­ tions contenues dans le fichier smb-hosts-file . Cette option requière que Samba soit résident et dans le chemin de recherche d'exécution du système qui exécute Snort. Le fichier des stations est sim­ ple : chaque ligne contient le nom SMB de la boite à laquelle envoyer le message. -n packet-count Traite packet-count paquets et quitte. -N Désactive la journalisation de paquets. Le pro­ gramme génère toujours des alertes normalement. -o Change l'ordre dans lequel les règles sont appliquées aux paquets. Au lieu d'être appliquées dans l'ordre standard Alert->Pass->Log , ceci appliquera l'ordre Pass->Alert->Log . -O Obscurci l'adresse IP dans le mode d'affichage de January 2001 3 SNORT(8) SNORT(8) paquets en ASCII. Cette option change l'adresse IP qui est imprimée a l'écran/fichier journal en "xxx.xxx.xxx.xxx". Si l'adresse du réseau local est fixée (-h), seulement les adresses du réseau local seront obscurcies alors que les IP non locales seront visibles. Parfait pour poster à votre mail­ ing liste de sécurité favorite ! -p Désactive l'écoute en mode promiscuous. -q Opération muette. N'affiche pas la bannière et les informations d'initialisation. -r tcpdump-file Lit le fichier au format tcpdump tcpdump-file. Ceci fait lire et traiter à Snort le fichier qui lui est fourni. C'est utile si, par exemple, vous avez un ensemble de fichiers SHADOW dont vous voulez traiter le contenu, ou même si vous avez un ensemble de fragments de paquets réassemblés qui ont été écrits dans un fichier au format tcpdump. -s Envoie les messages d'alertes à syslog. Sur les boîtiers Linux, ils apparaîtront dans /var/log/secure, /var/log/messages sur de nom­ breuses plates-formes. -S n=v Fixe la variable nommée "n" à la valeur "v". C'est utile pour fixer les valeurs d'un nom de variable défini dans le fichier de règles de Snort à une valeur spécifiée sur la ligne de commande. Par exemple, si vous définissez un nom de variable HOME_NET à l'intérieur d'un fichier de règles Snort, vous pouvez fixer cette valeur par la valeur prédéfinie sur la ligne de commande. -t chroot Change le répertoire racine de Snort en chroot après l'initialisation. Merci de noter que tous les noms de journaux et d'alertes sont relatifs au répertoire chroot si chroot est utilisé. -u uname Change l'UID (ndt : utilisateur) avec lequel Snort fonctionne en uname après initialisation. -v Soit verbeux. Imprime les paquets à la console. Il y a un gros problème avec le mode verbeux : il est lent. Si vous travaillez sur de l'IDS avec Snort, n'utilisez pas l'option -v, vous allez manquer des paquets. -V Montre le numéro de version et quitte. January 2001 4 SNORT(8) SNORT(8) -X Affiche les données du paquet brut en commençant au niveau des liaisons de données. Cette option l'emporte sur l'option -d. -? Montre les commandes d'utilisation du programme et quitte. expression selects which packets will be dumped. If no expression is given, all packets on the net will be dumped. Otherwise, only packets for which expres­ sion is `true' will be dumped. The expression consists of one or more primitives. Primitives usually consist of an id (name or num­ ber) preceded by one or more qualifiers. There are three different kinds of qualifier: type qualifiers say what kind of thing the id name or number refers to. Possible types are host, net and port. E.g., `host foo', `net 128.3', `port 20'. If there is no type qualifier, host is assumed. dir qualifiers specify a particular transfer direction to and/or from id. Possible directions are src, dst, src or dst and src and dst. E.g., `src foo', `dst net 128.3', `src or dst port ftp-data'. If there is no dir qualifier, src or dst is assumed. For `null' link layers (i.e. point to point pro­ tocols such as slip) the inbound and out­ bound qualifiers can be used to specify a desired direction. proto qualifiers restrict the match to a particu­ lar protocol. Possible protos are: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. E.g., `ether src foo', `arp net 128.3', `tcp port 21'. If there is no proto qualifier, all protocols consistent with the type are assumed. E.g., `src foo' means `(ip or arp or rarp) src foo' (except the latter is not legal syn­ tax), `net bar' means `(ip or arp or rarp) net bar' and `port 53' means `(tcp or udp) port 53'. [`fddi' is actually an alias for `ether'; the parser treats them identically as meaning ``the data link level used on the specified network interface.'' FDDI headers contain Ethernet-like source and destination addresses, and often contain Ethernet-like packet types, so you can filter on January 2001 5 SNORT(8) SNORT(8) these FDDI fields just as with the analogous Ether­ net fields. FDDI headers also contain other fields, but you cannot name them explicitly in a filter expression.] In addition to the above, there are some special `primitive' keywords that don't follow the pattern: gateway, broadcast, less, greater and arithmetic expressions. All of these are described below. More complex filter expressions are built up by using the words and, or and not to combine primi­ tives. E.g., `host foo and not port ftp and not port ftp-data'. To save typing, identical quali­ fier lists can be omitted. E.g., `tcp dst port ftp or ftp-data or domain' is exactly the same as `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'. Allowable primitives are: dst host host True if the IP destination field of the packet is host, which may be either an address or a name. src host host True if the IP source field of the packet is host. host host True if either the IP source or destination of the packet is host. Any of the above host expressions can be prepended with the keywords, ip, arp, or rarp as in: ip host host which is equivalent to: ether proto \ip and host host If host is a name with multiple IP addresses, each address will be checked for a match. ether dst ehost True if the ethernet destination address is ehost. Ehost may be either a name from /etc/ethers or a number (see ethers(3N) for numeric format). ether src ehost True if the ethernet source address is ehost. ether host ehost True if either the ethernet source or January 2001 6 SNORT(8) SNORT(8) destination address is ehost. gateway host True if the packet used host as a gateway. I.e., the ethernet source or destination address was host but neither the IP source nor the IP destination was host. Host must be a name and must be found in both /etc/hosts and /etc/ethers. (An equivalent expression is ether host ehost and not host host which can be used with either names or num­ bers for host / ehost.) dst net net True if the IP destination address of the packet has a network number of net. Net may be either a name from /etc/networks or a network number (see networks(4) for details). src net net True if the IP source address of the packet has a network number of net. net net True if either the IP source or destination address of the packet has a network number of net. net net mask mask True if the IP address matches net with the specific netmask. May be qualified with src or dst. net net/len True if the IP address matches net a netmask len bits wide. May be qualified with src or dst. dst port port True if the packet is ip/tcp or ip/udp and has a destination port value of port. The port can be a number or a name used in /etc/services (see tcp(4P) and udp(4P)). If a name is used, both the port number and protocol are checked. If a number or ambiguous name is used, only the port number is checked (e.g., dst port 513 will print both tcp/login traffic and udp/who traffic, and port domain will print both tcp/domain and udp/domain traffic). January 2001 7 SNORT(8) SNORT(8) src port port True if the packet has a source port value of port. port port True if either the source or destination port of the packet is port. Any of the above port expressions can be prepended with the keywords, tcp or udp, as in: tcp src port port which matches only tcp packets whose source port is port. less length True if the packet has a length less than or equal to length. This is equivalent to: len <= length. greater length True if the packet has a length greater than or equal to length. This is equivalent to: len >= length. ip proto protocol True if the packet is an ip packet (see ip(4P)) of protocol type protocol. Protocol can be a number or one of the names icmp, igrp, udp, nd, or tcp. Note that the iden­ tifiers tcp, udp, and icmp are also keywords and must be escaped via backslash (\), which is \\ in the C-shell. ether broadcast True if the packet is an ethernet broadcast packet. The ether keyword is optional. ip broadcast True if the packet is an IP broadcast packet. It checks for both the all-zeroes and all-ones broadcast conventions, and looks up the local subnet mask. ether multicast True if the packet is an ethernet multicast packet. The ether keyword is optional. This is shorthand for `ether[0] & 1 != 0'. ip multicast True if the packet is an IP multicast packet. ether proto protocol True if the packet is of ether type proto­ col. Protocol can be a number or a name January 2001 8 SNORT(8) SNORT(8) like ip, arp, or rarp. Note these identi­ fiers are also keywords and must be escaped via backslash (\). [In the case of FDDI (e.g., `fddi protocol arp'), the protocol identification comes from the 802.2 Logical Link Control (LLC) header, which is usually layered on top of the FDDI header. Tcpdump assumes, when filtering on the protocol identifier, that all FDDI packets include an LLC header, and that the LLC header is in so-called SNAP format.] decnet src host True if the DECNET source address is host, which may be an address of the form ``10.123'', or a DECNET host name. [DECNET host name support is only available on Ultrix systems that are configured to run DECNET.] decnet dst host True if the DECNET destination address is host. decnet host host True if either the DECNET source or destina­ tion address is host. ip, arp, rarp, decnet Abbreviations for: ether proto p where p is one of the above protocols. lat, moprc, mopdl Abbreviations for: ether proto p where p is one of the above protocols. Note that Snort does not currently know how to parse these protocols. tcp, udp, icmp Abbreviations for: ip proto p where p is one of the above protocols. expr relop expr True if the relation holds, where relop is one of >, <, >=, <=, =, !=, and expr is an arithmetic expression composed of integer constants (expressed in standard C syntax), the normal binary operators [+, -, *, /, &, |], a length operator, and special packet data accessors. To access data inside the packet, use the following syntax: January 2001 9 SNORT(8) SNORT(8) proto [ expr : size ] Proto is one of ether, fddi, ip, arp, rarp, tcp, udp, or icmp, and indicates the proto­ col layer for the index operation. The byte offset, relative to the indicated protocol layer, is given by expr. Size is optional and indicates the number of bytes in the field of interest; it can be either one, two, or four, and defaults to one. The length operator, indicated by the keyword len, gives the length of the packet. For example, `ether[0] & 1 != 0' catches all multicast traffic. The expression `ip[0] & 0xf != 5' catches all IP packets with options. The expression `ip[6:2] & 0x1fff = 0' catches only unfragmented datagrams and frag zero of fragmented datagrams. This check is implicitly applied to the tcp and udp index operations. For instance, tcp[0] always means the first byte of the TCP header, and never means the first byte of an intervening fragment. Primitives may be combined using: A parenthesized group of primitives and operators (parentheses are special to the Shell and must be escaped). Negation (`!' or `not'). Concatenation (`&&' or `and'). Alternation (`||' or `or'). Negation has highest precedence. Alternation and concatenation have equal precedence and associate left to right. Note that explicit and tokens, not juxtaposition, are now required for concatenation. If an identifier is given without a keyword, the most recent keyword is assumed. For example, not host vs and ace is short for not host vs and host ace which should not be confused with not ( host vs or ace ) Expression arguments can be passed to Snort as either a single argument or as multiple arguments, whichever is more convenient. Generally, if the expression contains Shell metacharacters, it is easier to pass it as a single, quoted argument. January 2001 10 SNORT(8) SNORT(8) Multiple arguments are concatenated with spaces before being parsed. REGLES Snort utilise un langage de règles simple mais flexible pour décrire des signatures de paquets réseaux et les associer avec des actions. Le document actuel sur les règles peut être trouve sur http://www.snort.org/snort_rules.html . NOTES Le signal suivant a l'effet spécifié quand il est envoyé au processus démon en utilisant la commande kill(1) : SIGHUP Cause le démon à fermer tous les fichiers ouverts et à redémarrer. Merci de noter que ceci fonction­ nera seulement si le chemin complet est utilise pour invoquer snort en mode démon, autrement snort quittera juste avec un message d'erreur envoyé à syslogd(8) SIGUSR1 Cause le programme à imprimer les informations sur ses statistiques courantes sur les paquets vers la console ou vers syslogd(8) s'il est en mode démon. Tout autre signal cause le démon à fermer tous ses fichiers et à quitter. HISTORIQUE Snort a été librement accessible sous la licence GPL depuis 1998. DIAGNOSTICS Snort retourne 0 sur une terminaison réussie, 1 si il quitte sur une erreur. BOGUES Envoyez les rapports de bogues à roesch@clark.net, snort- devel@lists.sourceforge.net AUTEUR Martin Roesch VOIR AUSSI tcpdump(1), pcap(3) TRADUCTEUR Denis Ducamp January 2001 11