1.7 Basic Output
Snort可以做很多任务, 并且在任务完成后输出很多有用的统计信息. 一些不用说明就可以看懂, 其他的总结在这里, 不过只是一些基本的
1.7.1 Timing Statistics
提供基本时间信息统计, 包括总的秒数和捕获的packet数, 还有计算每秒抓多少个包, 例如:
===============================================================================
Run time for packet processing was 175.856509 seconds
Snort processed 3716022 packets.
Snort ran for 0 days 0 hours 2 minutes 55 seconds
Pkts/min: 1858011
Pkts/sec: 21234
===============================================================================
1.7.2 Packet I/O Totals
显示 DAQ 抓到的和注入的包的总数。如果看pcaps的话,显示的是所有的pcaps,除非使用 -pcap-reset 来显示每一个 pcap
- 非常棒的显示了有多少个已经缓存的packets,这个方式是统计各种DAQ的信息,所以可以读DAQ的文档获取更多信息。
- 过滤的包不会被DAQ记录
- 注入(injected)的包是主动响应(active response)的结果,在 inline 或 passive 模式中配置。
示例:
===============================================================================
Packet I/O Totals:
Received: 3716022
Analyzed: 3716022 (100.000%)
Dropped: 0 ( 0.000%)
Filtered: 0 ( 0.000%)
Outstanding: 0 ( 0.000%)
Injected: 0
===============================================================================
1.7.3 Protocol Statistics
显示Snort解析的所有流量的协议,这些协议包括内部的 pseudo-packets 如果启用像 frag3 和 steam5 的话总数会比解析的包大的多。
- 盘计数(Disc counts)因为基本编码的缺陷Snort无法解码,归为丢弃数。
- Other 项包含Snort无法解码的包
- S5 G 1/2 项是 客户端/服务器 会话中 stream5 刷新用来 缓存限制(cache limit) 会话超时(session timeout) 会话重置(session reset) 的计数.
示例:
===============================================================================
Breakdown by protocol (includes rebuilt packets):
Eth: 3722347 (100.000%)
VLAN: 0 ( 0.000%)
IP4: 1782394 ( 47.884%)
Frag: 3839 ( 0.103%)
ICMP: 38860 ( 1.044%)
UDP: 137162 ( 3.685%)
TCP: 1619621 ( 43.511%)
IP6: 1781159 ( 47.850%)
IP6 Ext: 1787327 ( 48.016%)
IP6 Opts: 6168 ( 0.166%)
Frag6: 3839 ( 0.103%)
ICMP6: 1650 ( 0.044%)
UDP6: 140446 ( 3.773%)
TCP6: 1619633 ( 43.511%)
Teredo: 18 ( 0.000%)
ICMP-IP: 0 ( 0.000%)
EAPOL: 0 ( 0.000%)
IP4/IP4: 0 ( 0.000%)
IP4/IP6: 0 ( 0.000%)
IP6/IP4: 0 ( 0.000%)
IP6/IP6: 0 ( 0.000%)
GRE: 202 ( 0.005%)
GRE Eth: 0 ( 0.000%)
GRE VLAN: 0 ( 0.000%)
GRE IP4: 0 ( 0.000%)
GRE IP6: 0 ( 0.000%)
GRE IP6 Ext: 0 ( 0.000%)
GRE PPTP: 202 ( 0.005%)
GRE ARP: 0 ( 0.000%)
GRE IPX: 0 ( 0.000%)
GRE Loop: 0 ( 0.000%)
MPLS: 0 ( 0.000%)
ARP: 104840 ( 2.817%)
IPX: 60 ( 0.002%)
Eth Loop: 0 ( 0.000%)
Eth Disc: 0 ( 0.000%)
IP4 Disc: 0 ( 0.000%)
IP6 Disc: 0 ( 0.000%)
TCP Disc: 0 ( 0.000%)
UDP Disc: 1385 ( 0.037%)
ICMP Disc: 0 ( 0.000%)
All Discard: 1385 ( 0.037%)
Other: 57876 ( 1.555%)
Bad Chk Sum: 32135 ( 0.863%)
Bad TTL: 0 ( 0.000%)
S5 G 1: 1494 ( 0.040%)
S5 G 2: 1654 ( 0.044%)
Total: 3722347
===============================================================================
1.7.4 Snort Memory Statistics
示例:
===============================================================================
Memory usage summary:
Total non-mmapped bytes (arena): 415481856
Bytes in mapped regions (hblkhd): 409612288
Total allocated space (uordblks): 92130384
Total free space (fordblks): 323351472
Topmost releasable block (keepcost): 3200
===============================================================================
1.7.5 Actions, Limits, and Verdicts
Action 和 Verdicts 的计数显示了Snort分析过的包。这个信息只会在IDS模式(-c <conf>)输出。
- Alearts 计数了规则中定义的活动(activate)的,警告(alert)和屏蔽(block)的动作。block中包括block,drop和reject动作。
Limits的引入是因为现实中包括执行时间和可用内存。这些导致潜伏的动作没有发生:
- Match Limit 计数规则匹配了因为
config detection: max queue events设置中限制的没有执行的动作。 - Queue Limit 计数了时间队列中因为
config event queue: max queue设置中限制的不能储存的事件。 - Log Limit 计数了因为
config event queue: log设置中限制的没有报警的事件。 - Event Limit 计数了
event_filter中限制的没有报警的事件。 - Alert Limit 计数了因为已经在会话中触发没有报警的事件。
Vedicts由Snort中分析的每个包计数:
- Allow Snort分析后没有进行动作的包。
- Block Snort因为block规则没有转发的包。用 Block 代替 Drop 来防止混淆丢包(Snort没有见到的包 Dropped packets)和屏蔽包(Snort不允许通过的包 Blocked packets)。
- Replace Snort修正的包,例如,为了一般化或者因为替代规则规定(replace rules)。这只能在 inline 模式中和可兼容的 DAQ 产生。
- Whitelist Snort分析程式允许通过 w/o 检查的流,和 blacklist 类似,由DAQ或者Snort后续的包完成。
- Blacklist Snort不允许通过的流。如果DAQ硬件支持,会话中Snort不会见到其中的包,如果不支持,snort会屏蔽每个包而且这会导致计数变高。
- Ignore Snort一次允许通过 w/o 检查的流。和 blacklist 一样,这由DAQ或Snort后续的包完成。
- Int Blklst 屏蔽的 GTP Teredo 6in4 或者 4in6 封装的包。这些包如果在
config tunnel verdicts中设置了以上协议会被列入黑名单屏蔽。注意只计入输出非零的输出。同时,这个计数会在流中第一个包报警时增加。长生警告的包和其流中之后所有的包都会被计数而且屏蔽。 - Int Whtlst 允许通过的 GTP Teredo 6in4 或者 4in6 封装的包。这些包如果在
config tunnel verdicts中设置了以上协议会被列入白名单。注意只计入输出非零的输出。同时,这个计数会在流中所有警告的包增加。
示例:
===============================================================================
Action Stats:
Alerts: 0 ( 0.000%)
Logged: 0 ( 0.000%)
Passed: 0 ( 0.000%)
Limits:
Match: 0
Queue: 0
Log: 0
Event: 0
Alert: 0
Verdicts:
Allow: 3716022 (100.000%)
Block: 0 ( 0.000%)
Replace: 0 ( 0.000%)
Whitelist: 0 ( 0.000%)
Blacklist: 0 ( 0.000%)
Ignore: 0 ( 0.000%)
===============================================================================
1.8 Tunneling Protocol Support
Snort支持解码很多隧道协议(tunneling protocol),包括 GRE, MPLS, IP in IP, ERSPAN, 全部默认开启。
关闭任何GRE相关封包的支持, PPTP over GRE, IPv4/IPv6 over GRE, ERSPAN,需要一条额外的设置:
$ ./configure --disable-gre
关闭MPLS支持,需要单独的配置:
$ ./configure --disable-mpls
1.8.1 Multiple Encapsulations
Snort会解码多重封包,例如:
Eth IPv4 GRE IPv4 GRE IPv4 TCP Payload
或者
Eth IPv4 IPv6 IPv4 TCP Payload
将不会被处理并且产生解码器警告。
1.8.2 Logging
目前,只有分组的封装部分被记录,例如:
Eth IP1 GRE IP2 TCP Payload
被记录为
Eth IP2 TCP Payload
和
Eth IP1 IP2 TCP Payload
被记录为
Eth IP2 TCP Payload
注意:PPTP 是利用 GRE 和 PPP,解码PPTP时,目前不支持需要字对齐(word alignment)的架构,例如 SPARC 。