使用Snort软件包监视轻型入侵
使用Snort软件包监视轻型入侵
Snort是被设计用来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。Snort是一个免费的、跨平台的软件包,用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。它可以运行在Linux/UNIX和Win32系统上,你只需要几分钟就可以安装好并可以开始使用它。Snort的一些功能:
-实时通讯分析和信息包记录
-包装有效载荷检查
-协议分析和内容查询匹配
-探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试
-对系统日志、指定文件、Unixsocket或通过Samba的WinPopus进行实时报警
Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发/自由软件最重要的惯例,Snort支持各种形式的插件、扩充和定制,包括数据库或是XML记录、小帧探测和统计的异常探测等。信息包有效载荷探测是Snort最有用的一个特点,这就意味着很多额外种类的敌对行为可以被探测到。
Snort.org提供一些RPM和tarball。通常我推荐根据需求来建立,但是我在最新稳定版本的tarball上遇到了问题。当这个版本的最终使用期限渐渐逼近时,我没有时间来描述究竟是我太笨了还是Snort的问题。RPM安装就没有任何问题。
为了使Snort工作,libpcap是必需安装到你的系统中。用locate来检查:
$locatelibpcap
这个将输出以下一些内容:
/usr/lib/libpcap.so.0
/usr/lib/libpcap.a
/usr/lib/libpcap.so
/usr/lib/libpcap.so.0.6.2
如果没有这些,到tcpdump.org或者你的Linux安装盘中去找。
安装一个安全软件而不验证签名是不明智的。检验你下载的checksum:
#md5snort-1.8.6.tar.gz
或者
#md5snort-1.8.6-1snort.i386.rpm
解压缩tarball:
$tar-xvzfsnort-1.8.6.tar.gz
以root身份安装
#./configure
#make
#makeinstall
这是简单形式的安装过程。一些选项被选中以运行Snort的预安装自测;将二进制和目标文件从安装目录中清除,清除操作还有一个卸栽选项。
其他的安装选项和需要使用的配置:
--with-snmp
允许SNMP报警代码
--with-mysql=DIR
支持mysql
--with-postgresql=DIR
支持Postgresql数据库
--with-openssl=DIR
支持openssl
还有更多的一些选项,可以参见你的tarball文档
安装RPM自身非常简单:
#rpm-ivhsnort-1.8.6-1snort.i386.rpm
你可以在下载Snort的网页上看到,预编译的二进制文件已经被封装,用来维持与其他程序的兼容性,例如mySQL和PostgreSQL
#snort-?
打印出最常用的选项
Test-drive是用来保证正确的安装。只监视本地机器,-I=interface:
#snort-vdeieth0
用CTRL+C来停止测试。不要忘了将你的网卡设为混杂模式。Snort将以后台程序形式运行,并会以开启停止形式出现。
PacketSniffer模式
这种模式下,只将TCP/IP报头打印出来
#snort-v
查看应用层数据
#snort-vd
数据联接层报头
#snort-vde
|
| 【内容导航】 | |
| 第1页:使用Snort软件包监视轻型入侵 | 第2页:使用Snort软件包监视轻型入侵 |
评论暂时关闭