freebsd系统常用功能安装配置说明
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统安装配置指南
一.操作系统安装过程
为了在原有的snort基础上扩展到IPS功能,于是乎想利用snort_inline来做,虽然还有类似的snortsam、guardian之类的snort插件,不过既然snort 后续版本自带了inline模式,那就还是先用inline吧~
1.1. 安装操作系统
CentOS:CentOS-5.2-i386-bin-DVD.iso
Server版本,安装好gcc等各类开发工具。
安装freebsd 7.2
1、系统打补丁
配置ip地址网关、DNS
freebsd-update fetch install
reboot
portsnap fetch extract
ntpdate
二.SNORT安装配置过程
2.1. 安装pcre(7.2装好后已有)
cd /usr/ports/devel/pcrc
make install clean
pcre-7.8.tar.gz
下载后,configure→make→make install默认安装即可
2.2. 安装iptables-devel
cd /usr/ports/net/libpcap
make install clean
iptables-devel-1.3.5-4.el5.i386.rpm
下载后,configure→make→make install默认安装即可
2.3. 安装libdnet
cd /usr/ports/net/libdnet
make install clean
libdnet-1.11.tar.gz
下载后,configure→make→make install默认安装即可
2.4. 安装libpcap
cd /usr/ports/net/libpcap
make install clean
libpcap-1.0.0.tar.gz
下载后,configure→make→make install默认安装即可
2.5. 安装ip_queue
利用modprobe ip_queue载入ip_queue模块
2.6. 安装snort-inline
snort_inline-2.6.1.5.tar.gz
下载后,configure→make→make install默认安装即可
2.7. 运行前准备
打开系统的ip forward功能:
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
根据需求设置需要通过iptables到ip_queue队列让snort-inline处理的包:如:[root@localhost ~]# iptables –A FORWARD –p tcp –dport 80 –j QUE UE,仅让目的端口为80的tcp数据包进入snort-inline处理。
2.8. 运行snort-inline
[root@localhost ~]# snort-inline –Qc /etc/inline.conf –l /var/log/snort...指定规则、日志记录等方式即可运行。
三.Netflow监控
3.1. 简单的netflow监测
fprobe -i bge0 -n 5 -e 1 127.0.0.1:9996
/usr/local/bin/flow-capture -z 6 -n 143 -e 8928 -V 5 -w /var/netflow 127.0.0.1/127.0.0.1/9996
-z 壓縮比例0-9
-n 一天產生幾份netflow 檔案. 143 為每10分鐘一份預設為95 份15min/per -e 總共保留幾份8928 是一個月
-V 板本..
-w 儲存資料夾
最後localip/remoteip/port
接收端/發送端/連接埠
cd /var/netflow/日期目录
flow-cat ft-v05.2008-12-16.* | flow-stat -f8 -S2 | tail +13l | head -10 查看某天的流量排名
fprobe -i bge0 -n 5 -e 1 127.0.0.1:9995
/usr/local/bin/flow-capture -z 6 -n 24 -e 144 -V 5 -w /var/netflow 127.0.0.1/127.0.0.1/9995
/usr/local/bin/
flow-capture flow-expire flow-filter flow-import flow-merge flow-receive flow-rptfmt flow-stat
flow-cat flow-export flow-gen flow-log2rrd flow-nfilter flow-report flow-send flow-tag
flow-dscan flow-fanout flow-header flow-mask flow-print flow-rpt2rrd flow-split
Netflow#flow-cat 檔案| flow-print # 將列出所有抓下的封包,檔案= /netflow/2005/2005-01/2005-01-31/ft-v01.2005-01-31.032001+0800
Netflow#flow-cat檔案| flow-stat -f8 -S2 | tail +13l | head -10 # 可抓取目的地流量前10名IP
Netflow#flow-cat檔案| flow-stat -f5 -S2 | tail +13l | head -10 # 統計port 量Netflow#flow-cat檔案| flow-filter -P6677 | flow-stat -f8 -S2 # 抓出port 6677 (kuro) 的排名
3.2. NFSEN
cisco 6509 fprobe -i bge0 -n 5 -e 1 192.168.90.252:8231
alcatel 6850 fprobe -i bge0 -n 5 -e 1 192.168.90.252:6343
fprobe -i bge0 -n 5 -e 1 127.0.0.1:9996
telnet 192.168.90.252
user01 user01可以登录然后su root 密码12345678
---------------------------------------
1. port的升级尽量用portupgrade,不要用光盘。(没有这个命令)
2. 从tcpdump看是已经有netflow数据了,再看看/usr/local/var/nfsen/profiles/live/下有没有netflow的数据文件。一般需要过5分钟才能看到流量图。
nfsen -l live 检查、、
nxl# sockstat -4l
-------------------------------------
3.2.1.安装Fprobe
cd /usr/ports/net-mgmt/fprobe/
make install clean
rehash