Snort-output xml plugin分析

Author: gnicky  URL http://blog.csdn.net/loconfuse

对snort1.8的版本进行初步的分析，因为发现snort在2.0之后发生了相对巨大的变化，对于软件内核分析，选择较低的版本是比较合适的，最好是从作者的原始思想出发，可惜也没有作者的灵感，下载了snort-1.8，就从这个版本分析。

首先打开了manual 阅读一遍，总体上把握软件的功能，在网络应用的模式上分为三类侦听、记录、入侵检测；对输出插件大致地阐述sys_logDatabaseCSVXMLSMB_alert等方式，在这个版本中包含较多的output plugin，对于想学习插件编写的爱好者比较有学习意义。

为了便于学习，同时下载snort2.0的版本，在这个版本中，文件的分类整理规范，不像1.8中大部分的文件直接存放在主目录下。由于学习linux是个新手，对下面的文件命名也不是很有理解（以前minux操作系统没有好好学）。Contrib作为可选可增加内容的文件存放地点，Doc作为相关文档，手册的存放地点，同时也包括一些make file等文件，下面的一段内容截取自ReadMe.Plugin：

Overview:

Snort version 1.5 introduces a major new concept, plugins.  There are two types of plugin currently available in Snort: detection plugins and preprocessors. Detection plugins check a single aspect of a packet for a value defined within a rule and determine if the packet data meets their acceptence criteria.  For example, the tcp flags detection plugin checks the flags section of TCP packets  for matches with flag combinations defined in a particular rule.  Detection plugins may be called multiple times per packet with different arguments. Preprocessors are only called a single time per packet and may perform highly complex functions like TCP stream reassembly, IP defragmentation, or HTTP request normalization.  They can directly manipulate packet data and even call the detection engine directly with their modified data.  They can perform less complex tasks like statistics gathering or threshold monitoring as well.

主要介绍了在对libpcap抓取的packet分析中使用到的插件，包括整体上与局部上使用的两类，这种基于插件的设计模式为snort的发展提供了非常广阔的空间。

"sp_something.c"/"sp_something.h" 主要用于detection plugins，而spp_something.c以及spp_something.h用于preprocessors plugins.假如有兴趣编写插件可以通过templates中的文件来学习，希望能够成为一个优秀的plugin developer！

    假如对输出插件非常有兴趣，可以学习下文件readme.database，该文件讲述的是database输出插件的相关内容，当然没有涉及具体的工作原理。相信readme.cvs文件应该是在说如何使用csv输出插件的。根据这些规则，应该能够猜到到snort1.8的版本中的readme.xml文件讲述的是如何使用xml插件，这个文件在2.2.0中并未出现。

更多相关下载: