版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第第页入侵检测系统之LIDS篇入侵检测系统之LIDS篇
发表于:2023-05-25来源::点击数:标签:入侵系统LIDS检测系统入侵检测
入侵检测系统也叫IDS=instrusiondetectionsystem,他常常被网络管理员用来检测网络受攻击的程度和频繁度,为他进行下一步的管理提供充足的资料。这里采用linux+snort,因为他们都是免费的,并且采用源码包安装软件下载libpcap
入侵检测系统也叫IDS=instrusiondetectionsystem,他常常被网络管理员用来检测网络受攻击的程度和频繁度,为他进行下一步的管理提供充足的(资料)。
这里采用linux+snort,因为他们都是免费的,并且采用源码包安装
软件(下载)
libpcap
snort-1.9
首先你必须有root权限
su
passwd:**********
由于snort需要libpcap,所以先安装他
cd/usr/src
tarzxvflibpcap-0.6.2.tar.gz
tarzxvfsnort-1.9.0.tar.gz
[root@SECsrc]#cdlibpcap-0.6.2
[root@SEClibpcap-0.6.2]#./configure--prefix=/usr/local/libpcap-0.6.2
[root@SEClibpcap-0.6.2]#make
[root@SEClibpcap-0.6.2]#makeinstall
接着安装snort,如果不需要把日志写到mysql数据库的话,配置很简单
[root@SEClibpcap-0.6.2]#cd../snort-1.9.0
[root@SECsnort-1.9.0]#./configure--prefix=/usr/local/snort19
[root@SECsnort-1.9.0]#make
[root@SECsnort-1.9.0]#makeinstall
OK,安装完毕,如果在上述安装过程中出现任何错误,请查看README文件
接着,把当前目录下的etc目录和rules目录cp到snort的安装目录
[root@SECsnort-1.9.0]#cpetc/usr/local/snort19-r
[root@SECsnort-1.9.0]#cprules/usr/local/snort19-r
接着,把etc下的classification.config复制到/root/目录下
再把etc里面的snort.conf复制到root目录下并改名为.snortrc
[root@SECsnort-1.9.0]#cpetc/classification.config/root/
[root@SECsnort-1.9.0]#cpetc/snort.conf/root/.snortrc
现在编辑snort的配置文件.snortrc
vi/root/.snortrc
先在102行找到varRULE_PATH../rules
把他改成varRULE_PATH/usr/local/snort19/rules
然后在590行看到
include$RULE_PATH/bad-traffic.rules
这些是SNORT的规则集,针对系统类型和网络环境选上你所需要的规则,OK,编辑完毕!
接着为了方便,我们把snort的可执行程序复制/usr/sbin目录
[root@SECsnort-1.9.0]#cp/usr/local/snort19/bin/snort/usr/sbin/snort
最后为snort放日志创建一个目录
[root@SECsnort-1.9.0]#mkdir/var/log/snort
马上(测试)一下
[root@SECsnort-1.9.0]#snort
InitializingOutputPlugins!
Logdirectory=/var/log/snort
InitializingNetworkInterfaceeth0
usingconfigfile/root/.snortrc
InitializingPreprocessors!
InitializingPlug-ins!
ParsingRulesfile/root/.snortrc
等等的输出,如果你看到的是这样的,那么恭喜你,你成功了!
下面让我们一起来看看snort的参数
[root@SECsnort-1.9.0]#snort--help
InitializingOutputPlugins!
snort:invalidoption---
-*Snort!*-
Version1.9.0(Build209)
ByMartinRoesch(roesch@,)
USAGE:snort[-options]
Options:
-ASetalertmode:fast,full,console,ornone(alertfilealertsonly)
"unsock"enablesUNIXsocketlogging(experimental).
-aDisplayARPpackets
-bLogpacketsintcpdumpformat(muchfaster!)
-cUseRulesFile
-CPrintoutpayloadswithcharacterdataonly(nohex)
-dDumptheApplicationLayer
-DRunSnortinbackground(daemon)mode
-eDisplaythesecondlayerheaderinfo
-fTurnofffflush()callsafterbinarylogwrites
-FReadBPFfiltersfromfile
-gRunsnortgidasgroup(orgid)afterinitialization
-GAddreferenceidsbackintoalertmsgs(modes:basic,url)
-hHwork=
-iListenoninterface
-IAddInterfacenametoalertoutput
-lLogtodirectory
-mSetumask=
-nExitafterreceivingpackets
-NTurnofflogging(alertsstillwork)
-oChangetheruletestingordertoPass|Alert|Log
-OObfuscatetheloggedIPaddresses
-pDisablepromiscuousmodesniffing
-Psetexplicitsnaplenofpacket(default:1514)
-qQuiet.Don'tshowbannerandstatusreport
-rReadandprocesstcpdumpfile
-RInclude'id'insnort_intf.pidfilename
-sLogalertmessagestosyslog
-SSetrulesfilevariablenequaltovaluev
-t
Chrootsprocessto
afterinitialization
-TTestandreportonthecurrentSnortconfiguration
-uRunsnortuidasuser(oruid)afterinitialization
-UUseUTCfortimestamps
-vBeverbose
-VShowversionnumber
-wDump802.11managementandcontrolframes
-XDumptherawpacketdatastartingatthelinklayer
-yIncludeyearintimestampinthealertandlogfiles
-zSetassurancemode,matchonestablishedsesions(forTCP)
-?Showthisinformation
arestandardBPFoptions,asseeninTCPDump
这里主要是要了解几个重要的参数
-A设置报警模式,是快速,完全,或者是控制台,亦或是不报警
-a捕获ARP包
-b使用tcpdump的格式来写入日志
-c指定配置文件路径
-d捕获应用层数据
-D后台运行snort
-e显示第二层头信息
-h设置监听主机
-m设置掩码
-z只匹配已经完全建立链接的会话
我一般是使用
snort-Afast-Db-e-z来运行snort的
其他还有一些很有用的参数,而且可以在配置文件那让snort把日志写到mysql数据库,这样对日志的处理就可以很方便了
如果需要知道更加多的信息,可以去看doc,或者看manpage
这里先截取一个日志片段来说明一些问题
11/13-05:29:27.429801UDPsrc:4dst:0sport:1028dport:137tgts:6ports:6event_id:0
11/13-05:29:27.759801UDPsrc:4dst:2sport:1028dport:137tgts:7ports:7event_id:471
11/13-05:29:34.279801UDPsrc:4dst:2sport:1028dport:137tgts:8ports:8event_id:471
11/13-05:29:34.449801UDPsrc:4dst:3sport:1028dport:137tgts:9ports:9event_id:471
11/13-05:29:37.549801UDPsrc:4dst:2sport:1028dport:137tgts:10ports:10event_id:471
11/13-05:29:41.989801UDPsrc:4dst:19sport:1028dport:137tgts:11ports:11event_id:471
11/13-05:29:42.139801UDPsrc:4dst:20sport:1028dport:137tgts:12ports:12event_id:471
这段日志告诉我
今天早上5点左右,有个IP
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 3.2 工业区位因素及其变化课件2024-2025学年高中地理人教版(2019)必修第二册
- 采购技术规范书-回路改造
- 半硬质聚乙烯泡沫行业发展前景预测及投资风险分析报告模板
- 污水处理厂配套管网工程投标施工组织设计
- 部编版小学语文六年级上册课堂实录汇编全册
- 2019年教科版小学科学三年级上册教案全册
- 老年服务与管理专业人才培养方案
- 第三单元测试卷(单元测试)-2024-2025学年六年级上册统编版语文
- 《章鱼先生买裤子》幼儿园小学少儿美术教育绘画课件创意教程教案
- 记账实操-铁路运输企业账务处理分录
- 医院资产管理总结
- 交通警察执勤安全要求培训
- 飞机知识培训课件
- 贸易融资保理合同
- 2024年国家基本公卫-卫生监督协管-考试复习题库(含答案)
- 人教版四年级数学下册第三单元运算定律 大单元作业设计
- 住培中医病例讨论-面瘫
- 部编人教版三年级语文上册全册同步练习课课练(含答案)
- 飞机维修中人为因素
- 副镇长季度工作总结
- 广告策划实训教程 课件 项目十 广告策划人的自我修养
评论
0/150
提交评论