Chinaunix首页 | 论坛 | 博客
  • 博客访问: 313701
  • 博文数量: 71
  • 博客积分: 1450
  • 博客等级: 上尉
  • 技术积分: 715
  • 用 户 组: 普通用户
  • 注册时间: 2007-03-11 16:56
文章分类

全部博文(71)

文章存档

2010年(2)

2009年(12)

2008年(19)

2007年(38)

分类: LINUX

2007-03-13 17:26:23

    这段时间一直都在研究snort,很优秀的一个东东。将学习的一点点经验贴出来,一来能
为自己作一些积累,二则或许还能给你带来方便,仅此足以~

实验环境:
1.RH9 linux操作系统。确定已经安装了libpcap工具,若不能确定,用下面的命令:
                 rpm -q libpcap
若看见类似"libpcap-0.7.2-1"的消息说明已经安装了libpcap;反之,请访问http:
//sourceforge.net/projects/libpcap,下载最新发布版本安装它。若不想源码安装,
您也可以访问,下载最新的RPM包安装。

2.下载snort源码压缩包:snort-2.6.0.2.tar.gz ()
  下载snort最新规则库:snortrules-snapshot-CURRENT.tar.gz (需注册后才能获得)

一、Snort的安装:
   1. tar –zxf snort-2.6.0.2.tar.gz
   2. cd snort-2.6.0.2
   3. ./
configure –with-mysql --enable-dynamicplugin
   4. 
make && make install
   5. cd etc
   6. mkdir /etc/snort
   7. cp *.map *.config /etc/snort/
   8. tar –zxf snortrules-snapshot-CURRENT.tar.gz –C /etc/snort/ 

二、配置Snort
      修改Snort配置文件,用vi打开/etc/snort/snort.conf,修改如下行为:
    var HOME_NET 192.168.8.129
    var RULE_PATH /etc/snort/rules

三、Snort体验:
        Snort的工作方式有三种:嗅探器、数据包记录器、网络入侵检测系统。前两种
    较为简单一些,在这不说了。关键是第三种,涉及到配置文件,要复杂的多。既然是
    入侵检测系统,肯定是有报警之类的东西出来的。一般是保存在/var/log/snort/alert
    文件中,当然利用-l选项也可改变日志的输出文件。Snort的报警有6种输出模式:full、
    fast、unit sockect、syslog、smb和none。有4种可以用命令-A选项来控制。
    -A full:是默认的报警模式。
    -A fast:报警信息包括:一个时间戳(timestamp)、报警消息、源/目的IP地址和端口。
    -A unsock:把报警发送到一个UNIX套接字,需要有一个程序进行监听,这样可以实现实
        时报警。套解口捆绑的路径名为/var/log/snort/snort_alert。需进一步对报警
        进行处理是此选项非常有用:)
    -A none:关闭报警机制。
    smb模式发送WinPopup消息。(在运行./configure脚本时,必须使用--enable-smbalerts选项)
    使用-s选项可以使snort把报警消息发送到syslog,默认的文件输出是/var/log/messages。

    要使snort以网络入侵检测系统的方式运行必须加上-c /etc/snort/snort.conf选项。

    很多日志插件都可以用于Snort,Database就是一个非常流行的输出插件,它允许把数据写入到
下列数据库中:MySQL, PostgreSQL, unixODBC, Oracle和MS-SQL Server。这里主要说一下利用
mysql记录报警的配置,其它数据库类似。
 
    首先必须建立mysql数据库:
    1、在snort-2.6.0.2/schemas/目录下找到文件create_mysql,编辑它在文件开始处
    加上如下两行:
        creat database snort;
        use snort;
    2、用下面的命令运行:
        mysql -u root < create_mysql
    OK, 创建snort数据库成功!

    然后,修改snort的配置文件,打开database开关,并编辑成如下:
    output database: log, mysql, user=root dbname=db host=localhost
    添加
    ruletype redalert
    {
           type alert
           output alert_syslog: LOG_AUTH LOG_ALERT
           output database: log, mysql, user=root dbname=snort host=localhost
    }   

    好了,接下来就可以运行snort了
    $snort -c /etc/snort/snort.conf
    

   
阅读(16576) | 评论(1) | 转发(0) |
0

上一篇:没有了

下一篇:修改MySql root密码的方法

给主人留下些什么吧!~~