【简介】
Snort 是一个开源入侵防御系统(IPS),Snort IPS 使用一系列规则来帮助定义恶意网络活动,并利用这些规则来查找与之匹配的数据包,并为用户生成警报,Snort 也可以在线部署来阻止这些数据包。Snort有三个主要用途。作为一个像tcpdump一样的数据包嗅探器,作为一个数据包记录器--这对网络流量调试很有用,或者它可以作为一个完整的网络入侵防御系统,本篇文章将带着大家通过阿里云云平台来搭建一个开源入侵防御系统去实现安全流量的实时分析
【操作步骤】
一.远程连接云服务器
1.使用远程工具登陆到服务器中
本次远程连接的服务器是windows系列的服务器,如果我们的电脑是windows系统可使用windows自带的远程,本篇文章将使用windows系统下自带的远程连接工具Mstsc进行远程连接演示
①点击“开始”输入命令“mstsc”命令
②在此输入对应的IP地址并点击确认(注:此处的IP地址为创建的阿里云ECS的公网IP地址)
③输入服务器的账号密码点击确认
④点击“是”进入远程桌面
⑤已经进入到远程桌面中
二.下载安装部署PCAP
1.首先需要通过[下载地址]去下载pcap
三.安装配置Snort及规则库
1. 通过下载地址下载安装Snort
1.首先需要通过[下载地址]去下载pcap,下载完毕以后点击下一步的方式进行安装,直至安装完毕。
2.下载安装Snort Rules 规则库
1.在Downloads中选择Rules模块
2.点击下载snort V2.9版本的规则库文件
3.将下载的文件解压后复制cimmunity.rules文件到snort安装目录的rules文件夹下
4.这里rule很多可以根据自己的需求选择规则放置在snort安装目录的rules下
四.验证测试IPS入侵防御系统
1.通过mkdir 命令新建一个文件夹
mkdir log
2 修改配置/etc/snort.conf配置文件
将Rule_PATH和PREPROC_RULE_PATH改成rules的绝对路径(注意:以上windows所有路径分隔符都是\ 同时还要再rules文件夹中创建两个文件 white_list.rules和black_list.rules,如果不创建的话会报文件不存在的错误)
3.运行snort.exe命令对特定IP网络进行日志记录
snort.exe -dev-l ./log -h192.168.0.0/24 -c ... /etc/snort.conf
4.通过Nmap命令对其网段进行测试
nmap -A-Sc-T4192.168.0.14
届时,我们就可以看到已经检测出攻击的行为了
