Snort入侵检测系统安装配置

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介:

                  Snort入侵检测系统安装配置

snort有三种工作模式:嗅探器、数据包记录器、入侵检测系统。做嗅探器时,它只读取网络中传输的数据包,然后显示在控制台上。作数据包记录器时,它可以将数据包记录到硬盘上,已备分析之用。入侵检测模式功能强大,可通过配置实现,但稍显复杂,snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的动作 

一.嗅探器配置

    1.配置源码安装开发环境

      [root@localhost ~]# yum groupinstall "Legacy Software Support" "X Software Development" "Development Libraries" "Development Tools" -y

2.snort安装,自行下载rpm

      [root@localhost ~]# rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm

嗅探器的功能比较单一,只是读取网络中的数据包,这样只需要安装snort就可以了,我们可以测试下snort的运行

[root@localhost ~]# snort -v             //可以看到如下内容

Running in packet dump mode

        --== Initializing Snort ==--

Initializing Output Plugins!

Verifying Preprocessor Configurations!

***

*** interface device lookup found: eth0

***

Initializing Network Interface eth0

Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-

  o"  )~   Version 2.8.0.1 (Build 72)  

   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html

           (C) Copyright 1998-2007 Sourcefire Inc., et al.

           Using PCRE version: 6.6 06-Feb-2006

Not Using PCAP_FRAMES

02/21-00:50:30.870175 192.168.101.106:22 -> 192.168.101.166:2182

TCP TTL:64 TOS:0x10 ID:6386 IpLen:20 DgmLen:124 DF

***AP*** Seq: 0x59969BDA  Ack: 0x8223B72  Win: 0x4BA  TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

     另外还有许多的参数可以使用,自己查看一下

二.数据包记录器配置

数据包记录器的配置是把我们收集到的信息,存放在我们的硬盘上,其实只是使用snort的一个参数。

[root@localhost ~]# mkdir snort               //创建一个存放信息的目录

[root@localhost ~]# snort -vde -l ./snort         //使用-l参数指定存放的目录

[root@localhost ~]# snort -vde -l ./snort &> /dev/null   //不用在屏幕上显示

三.入侵检测系统的配置

   本次实验主要是入侵检测系统的配置,在前面的基础之上,再进行如下操作

   在安装之前,我们先介绍几个软件包

mysql  :以mysql作为存放信息的数据库

apache apache服务器

php   :php 网页环境

Libpcaplinux/unix 平台下捕获数据包的函数库

adodb  php提供数据库支持

Base  :是基本的分析和安全引擎  ,acid 为项目的代码为基础,提供web的前端

1. mysql,php,apache,libpcap安装

       [root@localhost ~]# yum  install php  php-gd  php-pear  php-mysql  mysql-server httpd  libpcap

2.导入匹配规则

 [root@localhost ~]# tar -zxvf snortrules-snapshot-2.8.tar.gz -C /etc/snort/   //这个需要自己下载,最好下载最新的版本,它是snort判断某些行为是否是对服务器进行攻击的规则

    3.Base解压

      [root@localhost ~]# tar -zxvf base-1.4.5.tar.gz -C /var/www/html       //解压文件

      [root@localhost ~]# mv /var/www/html/base-1.4.5 /var/www/html/base  //修改文件名

    4.pear的安装

      (PearPHP扩展与应用库的缩写,它是一个php扩展及应用的一个代码仓库)

       [root@localhost ~]# pear install --force  PEAR-1.8.1      //在线安装pear,需要自己的机器能够连接到网络

        [root@localhost ~]# pear upgrade pear            //如果不是最新版本的,可以更新一下(可做可不做)

        [root@localhost ~]# pear  install Image_Graph-alpha Image_Canvas-alpha  Image_Color Numbers_Roman Mail_Mime Mail            //安装关连文件

        [root@localhost base]# cp world_map6.png  world_map6.txt /usr/share/pear/Image/Graph/Images/Maps/            //复制base文件到maps

      5.安装adobd

        [root@localhost ~]# unzip adodb514.zip 

        [root@localhost ~]# mv adodb5 /var/www/html

        [root@localhost ~]# mv /var/www/html/adodb5 /var/www/html/adobd(这个地方本想用/var/www/html/adodb,写错了,但不影响使用,要保证下面的一定要和这个文件名一样)

        //adobd放在网页主目录下

      6.base的安装

        [root@localhost html]# chmod o+w base        //修改权限,让其它人可以进行写入

       7.启动apache

         [root@localhost base]# service httpd start

       8. 配置mysql数据库

          [root@localhost html]# service mysqld start     //启动mysql数据库服务

          [root@localhost html]# mysqladmin -uroot password "123"  //修改密码

          [root@localhost html]# mysql -uroot -p         //进行数据库

          Enter password: 

          mysql> create database snort;                 //创建snort数据库,存放snort收集的信息

          Query OK, 1 row affected (0.00 sec)

          mysql> use snort;                            //进入snort数据库

          Database changed

          mysql> source /usr/share/snort-2.8.0.1/schemas/create_mysql;  //导入snort中数据库模板

     9.修改snort输入内容存入mysql数据库

       [root@localhost ~]# vim /etc/snort/snort.conf    //在其中修改如下一行

        output database: alert, mysql, user=root password=123 dbname=snort host=localhost

     10.配置环境变量

        [root@localhost ~]# export  PCAP_FRAMES=max

     11.安装snortmysql连接的工具

        [root@localhost ~]# rpm -ivh snort-mysql-2.8.0.1-1.RH5.i386.rpm      

     12.配置图形界面检测系统

        在浏览器中输入http://192.168.101.106/base      //服务器ip

         如果出现以下错误,则需要调整php.ini的配置

         

 

修改如下

  [root@localhost html]# vim /etc/php.ini 

  修改error_reporting  =  E_ALL error_reporting  =  E_ALL & ~E_NOTICE   即可

  保存之后,重新启动httpd服务,刷新页面

  [root@localhost html]# service httpd restart

  

 

点击,进入下一步

点击,进行下一步

再下一步

继续下一下

点击,创建表

创建成功之后,点击“step 5”进行下一步

输入帐号与密码进行登录

登录之后出现如下界面

 12.测试

首先让snort挂载配置文件来进行监控

[root@localhost html]# snort -vde -c /etc/snort/snort.conf 

使用工具portscan来扫描服务器,查看监控情况

点击 start 之后就会出现上面的内容

现在来查看snort扫描情况

点击10%字样,可以得到如下详细内容

点击第一个,查看一下

配置结束










本文转自 guodong810 51CTO博客,原文链接:http://blog.51cto.com/guodong810/1137293,如需转载请自行联系原作者
目录
相关文章
|
7月前
|
监控 网络协议 安全
华为配置防火墙直连路由器出口实验
华为配置防火墙直连路由器出口实验
295 6
|
7月前
|
网络安全 数据中心
百度搜索:蓝易云【Proxmox软件防火墙的配置教程】
现在,你已经完成了Proxmox软件防火墙的配置。请确保你的防火墙规则设置正确,以保护你的Proxmox VE环境免受未经授权的访问和网络攻击。
194 5
|
7月前
|
网络协议 安全 Linux
linux配置防火墙 Centos7下 添加 端口白名单
linux配置防火墙 Centos7下 添加 端口白名单
1040 0
|
20天前
|
运维 安全 Linux
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
40 12
|
2月前
|
网络协议 Ubuntu 网络安全
|
3月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
107 1
|
4月前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
451 4
|
4月前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
4月前
|
网络安全
如何用HCL模拟器配置防火墙IRF?
如何用HCL模拟器配置防火墙IRF?
128 2
|
4月前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
57 1