如何使用Snort功能监控数据包？

Question

我想为iOS应用程序创建一个网络入侵检测系统。主要功能是允许用户选择一个家庭网络(可能只提示他们简单地输入IP地址)，并能够监控数据包，如果有任何可疑情况-我们需要通过推送通知或电子邮件提醒用户。我想使用Snort的特性和功能，这是一个开放源码的网络入侵检测系统。

有什么建议吗，示例代码?！从哪里开始？

Answer 1

VM没有本机硬件访问权限，这是监控模式所必需的。也许IOMMU PCI通过或桥接设备可以工作。有可能使用适用于无线网卡的模块来编译iOS内核。我不认为它是苹果专有的芯片，因为在射频中具有多种技术能力的芯片并不是性价比高的。我只是不确定文件系统是否会阻止OS框架中的访问。我已经尝试过在shell中编译linux/iOS ARM包，但没有任何成功。也许有人会有更好的运气，实际上交叉编译一个包，并以某种方式侧面加载它。

Answer 2

我认为这是不可能的，原因有很多：

1. 你不能为iOS编译snort。
2. 为了运行snort，你必须将接口(NIC)设置为混杂模式，我真的不认为你可以在iOS设备(iPhone，iPad等)上做到这一点，但我从来没有真正研究过它，但苹果可能出于安全目的对其进行了锁定和限制，所以如果你可以这样做，你可能必须首先越狱设备。它甚至不可能将苹果笔记本电脑中的WiFi卡设置为监视器模式，这与之类似。
3. snort有很多依赖项，最重要的是DAQ。您可能只能监控wifi接口(即使这可能是不可能的)，而不能监控用于蜂窝网络的接口，因为这可能是与标准以太网nics不同的daq。

这在iOS上很可能是不可能的，如果是这样的话，这将是非常困难的，即使你这样做了，用例也不是很好。即使您可以为移动卡获取daq，我也不知道混杂模式是否存在，如果存在，移动网络上的所有流量都是加密的，所以使用snort检查这一点是没有意义的。如果你可以为wifi流量做这件事，老实说，这可能不值得你这么做，特别是因为现在几乎所有的流量都是加密的，你必须首先解密它，而这肯定是不可能的。

Answer 3

从Johnjg12的评论来看，我想知道你的目标是什么。如果你想创建一个网络入侵检测系统，你可以让它独立于操作系统。如果你想只考虑监控发往它的数据包的HIDS，我们不需要它处于混杂模式(对Johgj12的响应的评论)。所以，现在它与iOS上的Snort有关。我想知道我们是否可以在虚拟机上执行此操作，然后打开它的混杂模式？话虽如此，我还是看到了一个链接：https://www.securemac.com/macosxsnort.php