Snort安裝與配置方法
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
本篇內容主要講解“Snort安裝與配置方法”�����,感興趣的朋友不妨來(lái)看看���。本文介紹的方法操作簡(jiǎn)單快捷�����,實(shí)用性強��。下面就讓小編來(lái)帶大家學(xué)習“Snort安裝與配置方法”吧!
簡(jiǎn)介
Snort是一個(gè)多平臺(Multi-Platform)��,實(shí)時(shí)(Real-Time)流量分析����,網(wǎng)絡(luò )IP數據包(Pocket)記錄等特性的強大的網(wǎng)絡(luò )入侵檢測/防御系統(Network Intrusion Detection/Prevention System)��,即NIDS/NIPS���。
Snort采用規則匹配機制檢測網(wǎng)絡(luò )分組是否違反了事先配置的安全策略��。安裝在一臺主機上就可以監測整個(gè)共享網(wǎng)段�����,一旦發(fā)現入侵和探測行為���,即有將報警信息發(fā)送到系統日志�、報警文件或控制臺屏幕等多種實(shí)時(shí)報警方式����。Snort不僅能夠檢測各種網(wǎng)絡(luò )攻擊���,還具有網(wǎng)絡(luò )分組采集����、分析和日志記錄功能����。相對于昂貴與龐大的商用產(chǎn)品而言�,Snort 具有系統規模小����、容易安裝�����、容易配置����、規則靈活和插件(plug-in)擴展等諸多優(yōu)點(diǎn)����。
組成
Snort主要由分組協(xié)議分析器����、入侵檢測引擎�����、日志記錄和報警模塊組成���。協(xié)議分析器的任務(wù)就是對協(xié)議棧上的分組進(jìn)行協(xié)議解析����,以便提交給入侵檢測引擎進(jìn)行規則匹配�。入侵檢測引擎根據規則文件匹配分組特征���,當分組特征滿(mǎn)足檢測規則時(shí)�����,觸發(fā)指定的響應操作����。日志記錄將解析后的分組以文本或 Tcpdump 二進(jìn)制格式記錄到日志文件�,文本格式便于分組分析��,二進(jìn)制格式提高記錄速度����。報警信息可以發(fā)送到系統日志���;也可以采用文本或 Tcpdump 二進(jìn)制格式發(fā)送到報警文件����;也容許選擇關(guān)閉報警操作���。記錄到報警文件的報警信息有完全和快速兩種方式��,完全報警記錄分組首部所有字段信息和報警信息�,而快速報警只記錄分組首部部分字段信息���。
環(huán)境介紹:
虛擬機:Centos7
Snort官網(wǎng):https://www.snort.org/downloads #下載dap和snort
dap:https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
snort:https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
Centos7最小化安裝--開(kāi)啟網(wǎng)絡(luò )
1�、ip addr #查看網(wǎng)卡名稱(chēng)
2�、cd /etc/sysconfig/network-scripts/ #進(jìn)入網(wǎng)卡配置文件的目錄
3�、vi ifcfg-enXXX
4����、找到ONBOOT=no ���,修改為ONBOOT=yes然后保存退出
5����、service network restart #重啟網(wǎng)卡服務(wù)�,不行的話(huà)用systemctl restart network
6���、ip addr #查看是否分配到IP地址
7��、yum install net-tools #安裝net-tools包�����,該包提供ifconfig命令
8���、ifconfig #確認IP��,方便通過(guò)SSH軟件進(jìn)行登陸操作
Snort相關(guān)依賴(lài)下載及安裝
yum install -y gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump openssl openssl-devel
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz
#解壓縮到/usr/local/下
tar -zxvf daq-2.0.7.tar.gz -C /usr/local/
tar -zxvf snort-2.9.17.tar.gz -C /usr/local/
tar -zxvf LuaJIT-2.0.5.tar.gz -C /usr/local/
cd /usr/local/
#daq安裝
cd daq-2.0.7/
./configure && make && sudo make install
#LuaJIT安裝
cd LuaJIT-2.0.5/
make install
#snort安裝
cd snort-2.9.17/
./configure --enable-sourcefire && make && sudo make install
#創(chuàng )建Snort目錄:
mkdir rules
mkdir rules/iplists
mkdir /usr/local/lib/snort_dynamicrules
mkdir so_rules
#創(chuàng )建一些存儲規則和ip列表的文件
touch rules/iplists/black_list.rules
touch rules/iplists/white_list.rules
touch rules/local.rules
touch sid-msg.map
#創(chuàng )建日志目錄:
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs
#修改配置文件�����,將 HOME_NET 更改為自己主機所在的IP段
vi /usr/local/snort-2.9.17/etc
ipvar HOME_NET 192.168.0.0/24 #在45行�����,輸入:set number可顯示行號
var RULE_PATH /usr/local/snort-2.9.17/rules
var SO_RULE_PATH /usr/local/snort-2.9.17/so_rules
var PREPROC_RULE_PATH /usr/local/snort-2.9.17/preproc_rules
var WHITE_LIST_PATH /usr/local/snort-2.9.17/rules/iplists
var BLACK_LIST_PATH /usr/local/snort-2.9.17/rules/iplists
include $RULE_PATH/local.rules #在550行左右��,開(kāi)啟local.rules����,默認是開(kāi)啟的
注:實(shí)際上在include $RULE_PATH/local.rules下面還開(kāi)啟了很多規則�,由于未配置���,因此運行時(shí)會(huì )報錯�����,需要注釋掉
#測試ping規則
vi /usr/local/snort-2.9.17/rules/local.rules
輸入:alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)
#啟動(dòng)規則����,通過(guò)ifconfig確認好你的網(wǎng)卡是ethXX還是ensXXX
sudo /usr/local/bin/snort -A console -q -c /usr/local/snort-2.9.17/etc/snort.conf -i ens192
