snort使用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Apache + PHP套件安裝
Apache + PHP
Fedora 8所提供的Apache版本為2.2.8,PHP則是5.2.4 版,又由於BASE會使用PHP與MySQL連線,所以 相關的套件也須一併安裝: yum –y install php httpd php-mysql php-pdo php-pear php-gd chkconfig httpd on /etc/init.d/httpd start
Snort套件安裝(續)
下載檔案、進行解壓縮並安裝。在此我們將Snort安裝 至/usr/local/ snort-2.8.1目錄下: cd /usr/local/src wget http://www.snort.org/dl/current/snort2.8.1.tar.gz tar zxvf snort-2.8.1.tar.gz cd snort-2.8.1 ./configure --prefix=/usr/local/snort-2.8.1 --withmysql make make install
tar zxvf snortrules-snapshot-CURRENT.tar.gz mv etc rules so_rules /usr/local/snort-2.8.1/
Snort套件安裝(續)
修改snort.conf檔 vi /etc/snort/snort.conf 修改下列設定
# HOME_NET是用來指定您要監聽的網段: var HOME_NET any # 由於我們要將紀錄存進MySQL,所以在此需設定資料庫相關資訊。 output database: log, mysql, user=snort password=使用者自定密碼 dbname=snort host=localhost dynamicpreprocessor file \ /usr/local/snort2.8.1/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so dynamicpreprocessor file \ /usr/local/snort2.8.1/lib/snort_dynamicpreprocessor/libsf_dns_preproc.so dynamicpreprocessor file \ /usr/local/snort2.8.1/lib/snort_dynamicpreprocessor/libsf_ftptelnet_preproc.so dynamicpreprocessor file \ /usr/local/snort2.8.1/lib/snort_dynamicpreprocessor/libsf_smtp_preproc.so dynamicpreprocessor file \ /usr/local/snort2.8.1/lib/snort_dynamicpreprocessor/libsf_ssh_preproc.so dynamicengine /usr/local/snort-2.8.1/lib/snort_dynamicengine/libsf_engine.so
Snort套件安裝-配置規則集
Snort官方網站有提供最新的規則集供使用者下載,然 而若是您沒有付費,則只能下載延遲30天的規則集, 而無法取得最新版本。 對一般使用者來說,延遲30天的規則集其實也已經足 夠使用,若是使用者需要取得最新版本的規則集,可 以考慮付費購買。 要下載規則集前需註冊帳號,之後即可下載規則集, 如我們在下載規則集網頁Sourcefire VRT Certified Rules 項目下所下載的規則集檔名為snortrules-snapshotCURRENT.tar.gz。 接著將壓縮檔解開,並複製至適當的目錄:
以snort帳號登入,並建立snort資料庫的資料表,下述指令為同一 行:
mysql -u snort -p < /usr/local/src/snort-2.8.1/schemas/create_mysql snort
Snort套件安裝-檢視所有資料庫
mysql> show databases; +--------------------------| Database +--------------------------| information_schema | mysql | snort | test +---------------------------4 rows in set (0.00 sec) 2 rows in set (0.05 sec)
操作平台
Snort支援的作業系統如下:
Linux Windows FreeBSD NetBSD OpenBSD Sun Solaris HP-UX IBM AIX SGI IRIX MacOS X MkLinux
Snort安裝-Linux
以Fedora Core 8(FC8)作為測試的作業系統 由於安裝Snort需要的套件不只一個,此外也會 介紹外掛套件的安裝 一般最常用的組合是Snort+BASE(Basic Analysis and Security Engine) ,且使用ACID 還要事先安裝MySQL、Apache及PHP,另外還 有配合使用的ADOdb及其他模組等 建議讀者以root權限依照下列的順序來安裝, 安裝之前請確認SELinux的功能是關閉狀態, 否則將無法順利執行
Tarball套件安裝
安裝相依套件
在開始編譯安裝Snort原始碼之前,我們需要先將相 依套件以及會使用到的套件預先安裝配置完成,比 如Apache伺服器、MySQL資料庫、libpcap函式庫 等。 本書除了Snort原始碼以及一些Fedora 8所沒有提供 的套件之外,其他的元件皆會使用yum來安裝,以 方便管理。 首先請安裝相依的函式庫與開發套件,以供稍後編 譯時使用:
第13章:Snort
13-1 Snort簡介 13-2 Snort的安裝方法 13-3 Snort的使用
Snort發展歷史
Snort(http://www.snort.org/)為Marty Roesch 在1998年所發展出來的輕量級入侵偵測系統 (Intrusion Detection System, IDS),是遵循 GPL授權規範的開放原始碼軟體 Snort的運作模式有三個類型
Snort套件安裝(續)
設定Snort服務檔及開機啟動:
cd /etc/init.d/
建立並編輯snort服務啟動檔:
vi snort
Snort套件安裝-新增指令字串到snort檔
新增下行指令字串到snort檔,儲存後離開 #!/bin/bash # chkconfig: 2345 99 99 # description: Snort Daemon case "$1" in start) /usr/local/snort-2.8.1/bin/snort -c /usr/local/snort-2.8.1/etc/snort.conf -u snort -g snort -D ;; stop) killall -9 snort ;; restart) killall -9 snort sleep 2 /usr/local/snort-2.8.1/bin/snort -c /usr/local/snort-2.8.1/etc/snort.conf -u snort -g snort -D ;; *) echo "Usage: /etc/init.d/snort <start|stop|restart>" ;; esac
Snort套件安裝(續)
為snort增加執行屬性: chmod +x snort 設定Snort服務在開機時啟動: chkconfig –add snort 設定資料庫,並新建snort資料庫及配置使用者權限。以資料庫的root帳 號登入,預設沒有密碼: mysql -u root 登入後會出現mysql>,後續操作如下: mysql> use mysql; mysql> set password for root@localhost=password("更改root密碼"); mysql> create database snort; mysql> grant ALL on snort.* to snort@localhost identified by "設定snort 密碼"; mysql> exit
Snort套件安裝
本書截稿前,Snort最新版本為2.8.1,我們可從Snort官 方網站下載最新的tarball檔案。 首先我們虛新增一組專用的帳號與群組,以下的操作 皆使用root權限: groupadd snort useradd -g snort snort mkdir /var/log/snort chown snort:snort /var/log/snort
嗅探器模式(Sniffer mode) 封包記錄器模式(Packet Logger mode) 網路入侵偵測系統模式(Network Intrusion Detection System(NIDS)mode)
Snort發展歷史(續)
一般IDS的主要設計都是利用規則集 (Ruleset),針對可能入侵的行為作偵測;在 Snort的官方網站中有最新的規則集提供下載使 用 Snort設計一套頗富彈性的規則語言(Rules Language),因此使用者亦可以定義規則集, 甚至將自行定義的規則集回報給Snort官方網站 建議更新使用 Snort的系統架構是採模組化設計,系統管理者 在安裝好基本的Snort套件之後,可以再安裝外 掛套件增加功能,例如加強入侵偵測與防護的 能力、擷取與維護現行的規則集…等
BASE、ADOdb與其他額外套件安裝
首先先使用pear安裝會使用到的php額外 套件:
pear install --alldeps Image_Color Numbers_Roman pear install --alldeps channel://pear.php.net/Image_Canvas-0.3.1 pear install --alldeps channel://pear.php.net/Image_Graph-0.7.2
• yum –y install libpcap libpcap-devel pcre pcre-devel gcc
安裝與設定MySQL
MySQL
安裝MySQL資料庫,Fedora 8所提供的版本為 5.0.45,在此我們一併安裝MySQL的開發套件: yum –y install mysql-server mysql-devel chkconfig mysqld on /etc/init.d/mysqld start
Snort套件安裝(續)
選取snort資料庫:
mysql> use snort; Database changed
檢視snort資料庫中的所有資料表,確認snort資料庫建置完畢:
mysql> show tables; +-----------------| Tables_in_snort +-----------------| data | detail | encoding | event | icmphdr | iphdr | opt | reference | reference_system | schema | sensor | sig_class | sig_reference | signature | tcphdr | udphdr +-----------------16 rows in set (0.00 sec)
BASE、ADOdb與其他額外套件安裝(續) 安裝ADOdb資料庫存取介面模組:
cd /usr/local/src wget http://easynews.dl.sourceforge.net/sourceforge/ad o来自百度文库b/adodb504a.tgz tar zxvf adodb504a.tgz rm adodb504a.tgz mv adodb5 /var/www/