這段時間一直都在研究snort,很優秀的一個東東。將學習的一點點經驗貼出來,一來能為自己作一些積累,二則或許還能給你帶來方便,僅此足以~
實驗環境:
1.RedHat Linux 9操作系統。確定已經安裝了libpcap工具,若不能確定,用下面的命令:
rpm -q libpcap
若看見類似"libpcap-0.7.2-1"的消息說明已經安裝了libpcap;反之,請訪問http://sourceforge.net/projects/libpcap,下載最新發布版本安裝它。若不想源碼安裝,您也可以訪問http://www.rpmfind.net,下載最新的RPM包安裝。
2.下載snort源碼壓縮包:snort-2.6.0.2.tar.gz (http://www.snort.org/)
下載snort最新規則庫:snortrules-snapshot-CURRENT.tar.gz (需注冊後才能獲得)
一、Snort的安裝:
1. tar –zxf snort-2.6.0.2.tar.gz
2. cd snort-2.6.0.2
3. ./configure –with-mysql --enable-dynamicplugin
4. make && make install
5. cd etc
6. mkdir /etc/snort
7. cp *.map *.config /etc/snort/
8. tar –zxf snortrules-snapshot-CURRENT.tar.gz –C /etc/snort/
二、配置Snort:
修改Snort配置文件,用vi打開/etc/snort/snort.conf,修改如下行為:
var HOME_NET 192.168.8.129
var RULE_PATH /etc/snort/rules
三、Snort體驗:
Snort的工作方式有三種:嗅探器、數據包記錄器、網絡入侵檢測系統。前兩種較為簡單一些,在這不說了。關鍵是第三種,涉及到配置文件,要復雜的多。既然是入侵檢測系統,肯定是有報警之類的東西出來的。一般是保存在/var/log/snort/alert文件中,當然利用-l選項也可改變日志的輸出文件。Snort的報警有6種輸出模式:full、fast、unit sockect、syslog、smb和none。有4種可以用命令-A選項來控制。
-A full:是默認的報警模式。
-A fast:報警信息包括:一個時間戳(timestamp)、報警消息、源/目的IP地址和端口。
-A unsock:把報警發送到一個UNIX套接字,需要有一個程序進行監聽,這樣可以實現實時報警。套解口捆綁的路徑名為/var/log/snort/snort_alert。需進一步對報警進行處理是此選項非常有用:)
-A none:關閉報警機制。
smb模式發送WinPopup消息。(在運行./configure腳本時,必須使用--enable-smbalerts選項)使用-s選項可以使snort把報警消息發送到syslog,默認的文件輸出是/var/log/messages。
要使snort以網絡入侵檢測系統的方式運行必須加上-c /etc/snort/snort.conf選項。
很多日志插件都可以用於Snort,Database就是一個非常流行的輸出插件,它允許把數據寫入到下列數據庫中:MySQL, PostgreSQL, unixODBC, Oracle和MS-SQL Server。這裡主要說一下利用mysql記錄報警的配置,其它數據庫類似。
首先必須建立mysql數據庫:
1、在snort-2.6.0.2/schemas/目錄下找到文件create_mysql,編輯它在文件開始處加上如下兩行:
creat database snort;
use snort;
2、用下面的命令運行:
mysql -u root
