如何使用Snort功能监控数据包？

Question

我想为iOS应用程序创建一个网络入侵检测系统。主要功能是允许用户选择家庭网络（可能只是提示他们输入IP地址）并能够监控数据包，如果有任何可疑信息，我们需要通过推送通知或电子邮件提醒用户。我想使用Snort这一开源网络入侵检测系统的特性和功能。

任何建议，示例代码？！从哪里开始？

Answer 1

虚拟机没有本地硬件访问权限，这对于监控器模式是必需的。也许IOMMU PCI直通或桥接设备可能有效。很有可能可以使用适用于无线网卡的模块来编译iOS内核。我不认为这是苹果公司专有的芯片，因为在RF中具有多重技术功能的芯片并不能完全具有成本效益。我只是不确定文件系统是否阻止了OS框架中的访问或其他操作。我曾尝试使用aircrack-ng源代码在外壳中本地编译linux / iOS ARM软件包，但没有任何运气。也许有人会更幸运地实际上是交叉编译一个软件包并以某种方式将其侧面加载。

Answer 2

我认为这可能有多种原因：

1. 您无法为iOS编译snort。
2. 为了运行snort，你必须让接口（NIC）处于混杂模式，我真的不认为你可以在iOS设备（iPhone，iPad等）上做，但我从来没有真正看过进入它，但Apple可能会将其锁定并将其限制为出于安全目的，所以如果你能做到这一点，你可能不得不首先对设备进行监禁。它甚至无法将Apple笔记本电脑中的wifi卡置于监听模式，这类似。
3. snort有很多依赖项，最重要的是DAQ。你可能只能监控wifi接口（即使这可能是不可能的），而不是用于蜂窝网络的接口，因为这可能是与标准以太网网络不同的daq。

这很可能在iOS上是不可能的，如果它是非常难以实现的，即使你做的用例并不是很好。即使您可以获得蜂窝卡的daq，我也不知道混杂模式是否存在，如果它确实蜂窝网络上的所有流量都是加密的，那么使用snort进行检查将毫无意义。如果你可以为wifi流量做这件事，它可能不值得花钱，特别是因为现在几乎所有的流量都是加密的，你必须先解密它，这当然不可能做。

Answer 3

在Johnjg12的评论中，我想知道你的目标。如果你想制作一个NIDS，你可以让它独立于操作系统。如果你只想考虑监视发往它的数据包的HIDS，我们不需要它处于混杂模式（对Johgj12的响应的评论）。所以，现在它与iOS上的Snort有关。我想知道我们是否可以在虚拟机上执行此操作然后转换其混杂模式？说过我发现了一个链接：https://www.securemac.com/macosxsnort.php