Snort - manual 笔记（四）

1.7 Basic Output

Snort可以做很多任务, 并且在任务完成后输出很多有用的统计信息. 一些不用说明就可以看懂, 其他的总结在这里, 不过只是一些基本的

1.7.1 Timing Statistics

提供基本时间信息统计, 包括总的秒数和捕获的packet数, 还有计算每秒抓多少个包, 例如:

===============================================================================

Run time for packet processing was 175.856509 seconds

Snort processed 3716022 packets.

Snort ran for 0 days 0 hours 2 minutes 55 seconds

Pkts/min: 1858011

Pkts/sec: 21234

===============================================================================

1.7.2 Packet I/O Totals

显示 DAQ 抓到的和注入的包的总数。如果看pcaps的话，显示的是所有的pcaps，除非使用 -pcap-reset 来显示每一个 pcap

非常棒的显示了有多少个已经缓存的packets，这个方式是统计各种DAQ的信息，所以可以读DAQ的文档获取更多信息。
过滤的包不会被DAQ记录
注入(injected)的包是主动响应(active response)的结果，在 inline 或 passive 模式中配置。

示例：

===============================================================================

Packet I/O Totals:

  Received: 3716022

  Analyzed: 3716022 (100.000%)

  Dropped: 		  0 ( 0.000%)

  Filtered:    	  0 ( 0.000%)

  Outstanding:    0 ( 0.000%)

  Injected:       0

===============================================================================

1.7.3 Protocol Statistics

显示Snort解析的所有流量的协议，这些协议包括内部的 pseudo-packets 如果启用像 frag3 和 steam5 的话总数会比解析的包大的多。

盘计数(Disc counts)因为基本编码的缺陷Snort无法解码，归为丢弃数。
Other 项包含Snort无法解码的包
S5 G 1/2 项是客户端/服务器会话中 stream5 刷新用来缓存限制(cache limit) 会话超时(session timeout) 会话重置(session reset) 的计数.

示例：

===============================================================================

Breakdown by protocol (includes rebuilt packets):

Eth:	 	3722347 	(100.000%)

VLAN:	 	0 			( 0.000%)

IP4:	 	1782394 	( 47.884%)

Frag:	 	3839 		( 0.103%)

ICMP:	 	38860 		( 1.044%)

UDP:	 	137162 		( 3.685%)

TCP:	 	1619621 	( 43.511%)

IP6:	 	1781159 	( 47.850%)

IP6 Ext:	1787327 	( 48.016%)

IP6 Opts: 	6168 		( 0.166%)

Frag6: 		3839 		( 0.103%)

ICMP6: 		1650 		( 0.044%)

UDP6: 		140446 		( 3.773%)

TCP6: 		1619633 	( 43.511%)

Teredo: 	18 			( 0.000%)

ICMP-IP: 	0 			( 0.000%)

EAPOL: 		0 			( 0.000%)

IP4/IP4: 	0 			( 0.000%)

IP4/IP6: 	0 			( 0.000%)

IP6/IP4: 	0 			( 0.000%)

IP6/IP6: 	0 			( 0.000%)

GRE: 		202 		( 0.005%)

GRE Eth: 	0 			( 0.000%)

GRE VLAN: 	0 			( 0.000%)

GRE IP4: 	0 			( 0.000%)

GRE IP6: 	0 			( 0.000%)

GRE IP6 Ext: 0 			( 0.000%)

GRE PPTP: 	202 		( 0.005%)

GRE ARP: 	0 			( 0.000%)

GRE IPX: 	0 			( 0.000%)

GRE Loop: 	0 			( 0.000%)

MPLS: 		0 			( 0.000%)

ARP: 		104840 		( 2.817%)

IPX: 		60 			( 0.002%)

Eth Loop: 	0 			( 0.000%)

Eth Disc: 	0 			( 0.000%)

IP4 Disc: 	0 			( 0.000%)

IP6 Disc: 	0 			( 0.000%)

TCP Disc: 	0 			( 0.000%)

UDP Disc: 	1385 		( 0.037%)

ICMP Disc: 	0 			( 0.000%)

All Discard: 1385 		( 0.037%)

Other: 		57876 		( 1.555%)

Bad Chk Sum: 32135 		( 0.863%)

Bad TTL: 	0 			( 0.000%)

S5 G 1: 	1494 		( 0.040%)

S5 G 2: 	1654 		( 0.044%)

Total: 		3722347

===============================================================================

1.7.4 Snort Memory Statistics

示例：

===============================================================================

Memory usage summary:

  Total non-mmapped bytes (arena): 		415481856

  Bytes in mapped regions (hblkhd): 	409612288

  Total allocated space (uordblks): 	92130384

  Total free space (fordblks): 			323351472

  Topmost releasable block (keepcost): 	3200

===============================================================================

1.7.5 Actions, Limits, and Verdicts

Action 和 Verdicts 的计数显示了Snort分析过的包。这个信息只会在IDS模式(-c <conf>)输出。

Alearts 计数了规则中定义的活动(activate)的，警告(alert)和屏蔽(block)的动作。block中包括block，drop和reject动作。

Limits的引入是因为现实中包括执行时间和可用内存。这些导致潜伏的动作没有发生：

Match Limit 计数规则匹配了因为 config detection: max queue events 设置中限制的没有执行的动作。
Queue Limit 计数了时间队列中因为 config event queue: max queue 设置中限制的不能储存的事件。
Log Limit 计数了因为 config event queue: log 设置中限制的没有报警的事件。
Event Limit 计数了 event_filter 中限制的没有报警的事件。
Alert Limit 计数了因为已经在会话中触发没有报警的事件。

Vedicts由Snort中分析的每个包计数：

Allow Snort分析后没有进行动作的包。
Block Snort因为block规则没有转发的包。用 Block 代替 Drop 来防止混淆丢包（Snort没有见到的包 Dropped packets）和屏蔽包（Snort不允许通过的包 Blocked packets）。
Replace Snort修正的包，例如，为了一般化或者因为替代规则规定（replace rules）。这只能在 inline 模式中和可兼容的 DAQ 产生。
Whitelist Snort分析程式允许通过 w/o 检查的流，和 blacklist 类似，由DAQ或者Snort后续的包完成。
Blacklist Snort不允许通过的流。如果DAQ硬件支持，会话中Snort不会见到其中的包，如果不支持，snort会屏蔽每个包而且这会导致计数变高。
Ignore Snort一次允许通过 w/o 检查的流。和 blacklist 一样，这由DAQ或Snort后续的包完成。
Int Blklst 屏蔽的 GTP Teredo 6in4 或者 4in6 封装的包。这些包如果在 config tunnel verdicts 中设置了以上协议会被列入黑名单屏蔽。注意只计入输出非零的输出。同时，这个计数会在流中第一个包报警时增加。长生警告的包和其流中之后所有的包都会被计数而且屏蔽。
Int Whtlst 允许通过的 GTP Teredo 6in4 或者 4in6 封装的包。这些包如果在 config tunnel verdicts 中设置了以上协议会被列入白名单。注意只计入输出非零的输出。同时，这个计数会在流中所有警告的包增加。

示例：

===============================================================================

Action Stats:

	Alerts: 	0 			( 0.000%)

	Logged: 	0 			( 0.000%)

	Passed: 	0 			( 0.000%)

Limits:

	Match:	 	0

	Queue: 		0

	Log: 		0

	Event: 		0

	Alert: 		0

Verdicts:

	Allow: 		3716022 	(100.000%)

	Block: 		0 			( 0.000%)

	Replace: 	0 			( 0.000%)

	Whitelist: 	0 			( 0.000%)

	Blacklist: 	0 			( 0.000%)

	Ignore: 	0 			( 0.000%)

===============================================================================

1.8 Tunneling Protocol Support

Snort支持解码很多隧道协议（tunneling protocol），包括　GRE, MPLS, IP in IP, ERSPAN, 全部默认开启。

关闭任何GRE相关封包的支持, PPTP over GRE, IPv4/IPv6 over GRE, ERSPAN，需要一条额外的设置：

$ ./configure --disable-gre

关闭MPLS支持，需要单独的配置:

$ ./configure --disable-mpls

1.8.1 Multiple Encapsulations

Snort会解码多重封包，例如：

Eth IPv4 GRE IPv4 GRE IPv4 TCP Payload

或者

Eth IPv4 IPv6 IPv4 TCP Payload

将不会被处理并且产生解码器警告。

1.8.2 Logging

目前，只有分组的封装部分被记录，例如：

Eth IP1 GRE IP2 TCP Payload

被记录为

Eth IP2 TCP Payload

和

Eth IP1 IP2 TCP Payload

被记录为

Eth IP2 TCP Payload

注意：PPTP 是利用 GRE 和 PPP，解码PPTP时，目前不支持需要字对齐(word alignment)的架构，例如 SPARC 。