歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Linux系統中Snort輕型的IDS工具

  一、snort介紹   Snort是被設計用來填補昂貴的、探測繁重的網絡侵入情況的系統留下的空缺。Snort是一個免費的、跨平台的軟件包,用作監視小型TCP/IP網的嗅探器、日志記錄、侵入探測器。它可以運行在Linux/UNIX和Win32系統上,你只需要幾分鐘就可以安裝好並可以開始使用它。     Snort的一些功能:     - 實時通訊分析和信息包記錄     - 包裝有效載荷檢查     - 協議分析和內容查詢匹配     - 探測緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測、操作系統侵入嘗試     - 對系統日志、指定文件、Unix socket或通過Samba的WinPopus 進行實時報警     Snort有三種主要模式:信息包嗅探器、信息包記錄器或成熟的侵入探測系統。遵循開發/自由軟件最重要的慣例,Snort支持各種形式的插件、擴充和定制,包括數據庫或是XML記錄、小幀探測和統計的異常探測等。   信息包有效載荷探測是Snort最有用的一個特點,這就意味著很多額外種類的敵對行為可以被探測到。     二、所需軟件包的安裝以及安裝   下在所需要的軟件包   1.libcap   http://www.mirrors.wiretapped.net/security/packet-capture/libpcap/libpcap-0.8.3.tar.gz   2.snort   http://www.snort.org/dl/snort-2.2.0.tar.gz   3.snort trules   http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz   4.openssl   http://www.openssl.org/source/openssl-0.9.7d.tar.gz   5.acid基於Web的入侵事件數據庫分析控制台   http://acidlab.sourceforge.net   6.gd   http://www.boutell.com/gd/   7.adodb為ACID提供便捷的數據庫接口;   http://PHP.weblogs.com/ADODB   8.phplot ACID所依賴的制圖庫;   http://www.phplot.com/   9.apache   http://www.apache.org   10.mysql   http://wwww.mysql.com   11.php(v>4.2)   http://www.php.net     開始安裝:     1.安裝MySQL,   #addgroup mysql   #adduser mysql   然後,以mysql身份登錄,執行下列命令:   $gzip -d -c mysql-3.23.49.tar.gz tar xvf -   $cd mysql-3.23.49   $./configure   $make   $make install     2.安裝openssl   #tar zxvf openssl*   #cd openssl   #./configure   #make   #make test   #make install     3.安裝libpcap   #tar zxvf libpcap*   #cd libpcap-0.8.3   #./configure   如果出現:   configure: warning: cannot determine packet capture interface   configure: warning: (see INSTALL for more info)   說明需要編譯系統內核,使其對CONFIG_PACKET支持   #make   #make install     4.安裝snort   #tar zxvf snort*   #cd snort-2.2.0   #./configure --enable-flexresp --with-mysql=/usr/local/mysql --with-openssl=/usr/local/ssl   支持mysql,持openssl 還有更多的一些選項,可以參見tarball文檔     如果出現:   ERROR! Libpcre header not found, go get it from   請http://www.pcre.org下載lib庫安裝即可。   如果出現:   ERROR! Libnet header not found   請http://www.packetfactory.net/projects/libnet/下載安裝即可。   如果已經安裝,可以用--with-libnet-* 選項   #make   #make install     5.安裝apache   #./configure --prefix=/usr/local/apache --enable-so   #make   #make install     6.安裝gd   首先安裝為PHP提供既時生成PNG和JPG圖象功能的GD庫:   #gzip -d -c gd-2.0.28.tar.gz tar xvf -   #cd gd-2.0.28   #make   #make install     7.安裝php   #gzip -d -c php-4.3.2.tar.gz tar xvf -   #cd php-4.3.2   #./configure -with-mysql=/usr/local/mysql \   --with-apxs=/usr/local/apache/bin/apxs \   --with-gd=/usr/local   #make   #make install     8.安裝ACID   該部分的安裝工作具體包括三個軟件包:adodb452.tar.gz、phplot-5.0rc1.tar.gz和acid-0.9.6b23.tar.gz 。安裝過程十分簡單,只需分別將這三個軟件包解壓縮並展開在Apache服務器的文檔根目錄下即可,具體操作   如下所示:(本服務器的文檔目錄為/www/ids)   #cd /www/ids/   #gzip -d -c adodb452.tar.gz tar xvf -   #gzip -d -c phplot-5.0rc1.tar.gz tar xvf -   #gzip -d -c acid-0.9.6b23.tar.gz tar xvf -     然後開始配置工作,轉到acid目錄下編輯ACID的配置文件:acid_conf.php給下列變量賦值:   $Dblib_path="../adodb"   $DBType="mysql"   $alert_dbname="snort"   $alert_host="localhost"   $alert_port="3306"   $alert_user="root"   $alert_passWord="123"   $archive_dbname="snort"   $archive_host="localhost"   $archive_port="3306"   $archive_user="root"   $archive_password="123"   $ChartLib_path="../phplot"   $Chart_file_format="png"   $portscan_file="/var/log/snort/portscan.log"   好,到此,所需軟件安裝完成,下面進入snort的設定與啟動     三、snort的設定與啟動   我們可以把Snort運做在chroot的環境中,設定也是很簡單,首先,可以選定一個有足夠位置放置Snort的Log的地方,如果您會定期檢查及清除Log文檔,您可以把Snort的chroot環境放在/home/snort中,然後需要的是一個   snort使用者,執行以下的指令新增Snort這個用者:   # groupadd snort   # useradd -g "snort" -d "/home/snort" -s "/nonexists" -c "Snort User" snort     然後,把snortrules.tar.gz這個文件解壓在/home/snort中,解壓了snortrules包後,在/home/snort/內有rules文件出現,這就是Snort使用的Ruleset,這些Ruleset就是供Snort用作偵測任何網絡反映的基礎。在rules中有一個是"snort.conf",它是Snort的配置文件,需要按實際情況修改snort.conf。   在 snort.conf 中,需要修改幾個地方便可以執行 Snort,以下是可能需要修改的地方:     - var HOME_NET   網絡或是主機的 IP,例如只有這一台服務器,就可以只輸入服務器的 IP 地址,如果機器有兩個以上的 IP,   可以使用這個方法:   var HOME_NET [192.168.1.1,192.168.1.2]   或是   var HOME_NET 192.168.1.0/24     -var SMTP [IP.Address]   SMTP 服服器的位置,如果與 HOME_NET 中的不同,只需把 $HOME_NET 移除,並加其指定 SMTP 機器的IP便可以。   - var HTTP_SERVERS   HTTP 服服器,與 SMTP 中的設定相同,如成為 Web Server 的不是 HOME_NET 機器,可以指定給其他的 IP。   - var DNS_SERVERS   DNS 服務器的IP地址,同時需要 Uncomment 以下一行:   preprocessor portscan-ignorehosts: $DNS_SERVERS   這可以防止因為 DNS 的 Lookup 而記錄無用的 PortScan 。     最後是有關記錄部份的配置,剛才編譯Snort時加入了"MySQL"的支持,為了使用 MySQL 記錄,先要在 MySQL中     建立 Snort 使用的 Databases、用者名及密碼,執行以下命令:   # echo "CREATE DATABASE snort;" mysql -u root -p   # grant INSERT,SELECT on snort.* to snort@localhost   然後在 Snort 的源始碼內找到 "contrib/create_mysql",再執行以下命令建立 Tables   # mysql -u root -p < create_mysql     完成後,別忘記在 snort.conf 中也要啟動 MySQL 的支持,簡單地 Uncomment 以下:   在454行:   output database: log, mysql, user=snort password=123 dbname=snort host=localhost   在493行:   ruletype redalert   {   type alert   output alert_syslog: LOG_AUTH LOG_ALERT   output database: log, mysql, user=snort dbname=snort host=localhost   }     四,執行snort   一切准備工作都做好了,那麼現在開始讓snort運行起來了哦:)   但在這之前請:   #mkdir /var/log/snort   #chown snort.snort /var/log/snort   現在開始 cd 進入 /home/snort 內,然後打入這個命令:   /home/snort #snort -b -d -i eth0 -u snort -g snort -c /home/snort/rules/snort.conf -l /var/log/snort &   -u 功能是使 snort 由 "snort" 這個使用者執行,進入 chroot 的用者環境   -c 指定使用的指定目錄   & 只是在背景中執行       五、SNORT規則編寫簡介   一條Snort規則可以分為前後兩個部分,規則頭和後面的選項部分。規則頭包含有匹配後的動作命令、協議類型、以及選擇流量的四元組(源目的IP及源目的端口)。規則的選項部分是由一個或幾個選項的符合,所有主要選項之間是與的關系。選項之間可能有一定的依賴關系,選項主要可以分為四類,第一類是數據包相關各種特征的描述選項,比如:conte




Copyright © Linux教程網 All Rights Reserved