入侵检测系统之LIDS篇

第第页入侵检测系统之LIDS篇入侵检测系统之LIDS篇

发表于：2023-05-25来源：：点击数：标签：入侵系统LIDS检测系统入侵检测

入侵检测系统也叫IDS=instrusiondetectionsystem,他常常被网络管理员用来检测网络受攻击的程度和频繁度，为他进行下一步的管理提供充足的资料。这里采用linux+snort,因为他们都是免费的,并且采用源码包安装软件下载libpcap

入侵检测系统也叫IDS=instrusiondetectionsystem,他常常被网络管理员用来检测网络受攻击的程度和频繁度，为他进行下一步的管理提供充足的（资料）。

这里采用linux+snort,因为他们都是免费的,并且采用源码包安装

软件（下载）

libpcap

snort-1.9

首先你必须有root权限

su

passwd:**********

由于snort需要libpcap,所以先安装他

cd/usr/src

tarzxvflibpcap-0.6.2.tar.gz

tarzxvfsnort-1.9.0.tar.gz

[root@SECsrc]#cdlibpcap-0.6.2

[root@SEClibpcap-0.6.2]#./configure--prefix=/usr/local/libpcap-0.6.2

[root@SEClibpcap-0.6.2]#make

[root@SEClibpcap-0.6.2]#makeinstall

接着安装snort，如果不需要把日志写到mysql数据库的话，配置很简单

[root@SEClibpcap-0.6.2]#cd../snort-1.9.0

[root@SECsnort-1.9.0]#./configure--prefix=/usr/local/snort19

[root@SECsnort-1.9.0]#make

[root@SECsnort-1.9.0]#makeinstall

OK,安装完毕，如果在上述安装过程中出现任何错误，请查看README文件

接着，把当前目录下的etc目录和rules目录cp到snort的安装目录

[root@SECsnort-1.9.0]#cpetc/usr/local/snort19-r

[root@SECsnort-1.9.0]#cprules/usr/local/snort19-r

接着，把etc下的classification.config复制到/root/目录下

再把etc里面的snort.conf复制到root目录下并改名为.snortrc

[root@SECsnort-1.9.0]#cpetc/classification.config/root/

[root@SECsnort-1.9.0]#cpetc/snort.conf/root/.snortrc

现在编辑snort的配置文件.snortrc

vi/root/.snortrc

先在102行找到varRULE_PATH../rules

把他改成varRULE_PATH/usr/local/snort19/rules

然后在590行看到

include$RULE_PATH/bad-traffic.rules

这些是SNORT的规则集，针对系统类型和网络环境选上你所需要的规则，OK，编辑完毕！

接着为了方便，我们把snort的可执行程序复制/usr/sbin目录

[root@SECsnort-1.9.0]#cp/usr/local/snort19/bin/snort/usr/sbin/snort

最后为snort放日志创建一个目录

[root@SECsnort-1.9.0]#mkdir/var/log/snort

马上（测试）一下

[root@SECsnort-1.9.0]#snort

InitializingOutputPlugins!

Logdirectory=/var/log/snort

InitializingNetworkInterfaceeth0

usingconfigfile/root/.snortrc

InitializingPreprocessors!

InitializingPlug-ins!

ParsingRulesfile/root/.snortrc

等等的输出，如果你看到的是这样的，那么恭喜你，你成功了！

下面让我们一起来看看snort的参数

[root@SECsnort-1.9.0]#snort--help

InitializingOutputPlugins!

snort:invalidoption---

-*Snort!*-

Version1.9.0(Build209)

ByMartinRoesch(roesch@,)

USAGE:snort[-options]

Options:

-ASetalertmode:fast,full,console,ornone(alertfilealertsonly)

"unsock"enablesUNIXsocketlogging(experimental).

-aDisplayARPpackets

-bLogpacketsintcpdumpformat(muchfaster!)

-cUseRulesFile

-CPrintoutpayloadswithcharacterdataonly(nohex)

-dDumptheApplicationLayer

-DRunSnortinbackground(daemon)mode

-eDisplaythesecondlayerheaderinfo

-fTurnofffflush()callsafterbinarylogwrites

-FReadBPFfiltersfromfile

-gRunsnortgidasgroup(orgid)afterinitialization

-GAddreferenceidsbackintoalertmsgs(modes:basic,url)

-hHwork=

-iListenoninterface

-IAddInterfacenametoalertoutput

-lLogtodirectory

-mSetumask=

-nExitafterreceivingpackets

-NTurnofflogging(alertsstillwork)

-oChangetheruletestingordertoPass|Alert|Log

-OObfuscatetheloggedIPaddresses

-pDisablepromiscuousmodesniffing

-Psetexplicitsnaplenofpacket(default:1514)

-qQuiet.Don'tshowbannerandstatusreport

-rReadandprocesstcpdumpfile

-RInclude'id'insnort_intf.pidfilename

-sLogalertmessagestosyslog

-SSetrulesfilevariablenequaltovaluev

-t

Chrootsprocessto

afterinitialization

-TTestandreportonthecurrentSnortconfiguration

-uRunsnortuidasuser(oruid)afterinitialization

-UUseUTCfortimestamps

-vBeverbose

-VShowversionnumber

-wDump802.11managementandcontrolframes

-XDumptherawpacketdatastartingatthelinklayer

-yIncludeyearintimestampinthealertandlogfiles

-zSetassurancemode,matchonestablishedsesions(forTCP)

-?Showthisinformation

arestandardBPFoptions,asseeninTCPDump

这里主要是要了解几个重要的参数

-A设置报警模式，是快速，完全，或者是控制台，亦或是不报警

-a捕获ARP包

-b使用tcpdump的格式来写入日志

-c指定配置文件路径

-d捕获应用层数据

-D后台运行snort

-e显示第二层头信息

-h设置监听主机

-m设置掩码

-z只匹配已经完全建立链接的会话

我一般是使用

snort-Afast-Db-e-z来运行snort的

其他还有一些很有用的参数，而且可以在配置文件那让snort把日志写到mysql数据库，这样对日志的处理就可以很方便了

如果需要知道更加多的信息，可以去看doc，或者看manpage

这里先截取一个日志片段来说明一些问题

11/13-05:29:27.429801UDPsrc:4dst:0sport:1028dport:137tgts:6ports:6event_id:0

11/13-05:29:27.759801UDPsrc:4dst:2sport:1028dport:137tgts:7ports:7event_id:471

11/13-05:29:34.279801UDPsrc:4dst:2sport:1028dport:137tgts:8ports:8event_id:471

11/13-05:29:34.449801UDPsrc:4dst:3sport:1028dport:137tgts:9ports:9event_id:471

11/13-05:29:37.549801UDPsrc:4dst:2sport:1028dport:137tgts:10ports:10event_id:471

11/13-05:29:41.989801UDPsrc:4dst:19sport:1028dport:137tgts:11ports:11event_id:471

11/13-05:29:42.139801UDPsrc:4dst:20sport:1028dport:137tgts:12ports:12event_id:471

这段日志告诉我

今天早上5点左右，有个IP