snort 联动iptables 配置为IPS,NIDS

最新推荐文章于 2024-04-26 16:53:20 发布
VIP文章 最新推荐文章于 2024-04-26 16:53:20 发布
阅读量3.9k 收藏 7
点赞数
分类专栏: snort 文章标签: ubuntu iptables 网络 snort ips
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Geikon/article/details/68482721
版权

一、环境准备
Ubuntu16.10,snort2.9.9,iptables1.6.0,daq-2.0.6

二、snort安装
首先关掉网卡的“Large Receive Offload” (lro) and “Generic Receive Offload” (gro).
看snort手册:

Some network cards have features named “Large Receive Offload” (lro) and “Generic Receive Offload” (gro). With these features enabled, the network card performs packet reassembly before they’re processed by the kernel. By default, Snort will truncate packets larger than the default snaplen of 1518 bytes. In addition, LRO and GRO may cause issues with Stream5 target-based reassembly. We recommend that you turn off LRO and GRO.

执行以下命令:

sudo vi /etc/network/interfaces

打开interfaces后加入下面两句:

post-up ethtool -K enp0s3 gro off
post-up ethtool -K enp0s3 lro off

根据自己的网卡名进行更改,关于网卡名的变更详见

Important note for people running Ubuntu 16: Begining with Ubuntu 15.10, network interfaces no longer follow the ethX standard (eth0, eth1, …). Instead, interfaces names are assigned as Predictable Network Interface Names. This means you need to check the names of your interfaces using ifconfig -a. In my case, what was originally eth0 is now ens160. If you are running Ubuntu 15.10, anywhere in this guide you see eth0, you will need to replace with your new interface name.

安装依赖包

sudo apt-get install -y build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex z
最低0.47元/天 解锁文章
Geikon
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux:IPtable与Snort联动测试
wws的博客
03-01 890
文章目录一、安装配置Snort二、安装配置IPtable三、安装配置Guardian三、联动测试 一、安装配置Snort 安装依赖 sudo apt-get install -y flex bison rpc-compat 安装snort和daq wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz tar xvzf daq-2.0.7.tar.gz cd daq-2.0.7 ./configure && make &amp
snort-2.9.16.tar.gz
04-23
在1998年,Martin Roesch用C语言开发了开放源代码(Open Source)的入侵检测系统Snort。直至今天,Snort已发展成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPSSnort符合通用公共许可(GPL——GNU General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用。
Snort与防火墙Iptables联动
有理论,有实验,有结论,可为一篇文章
01-20 6957
Snort简述 Snort是一个强大的轻量级网络入侵检测系统,它能够检测到各种不同的攻击方式,对攻击进行实时报警。此外,Snort具有很好的扩展性和可移植性,并且这个软件遵循GPL,这意味着只要遵守GPL的任何组织和个人均可以自由使用这个软件。 Snort具有实时流量分析和日志IP网络数据包的能力,能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:Syslog、用户指定的文...
snort与单台防火墙联动实验1
08-04
1.Snort 工作原理与应用场景 2.Snort 的主体架构 3. Snort 的插件机制 4.总体流程 1. 概述 2. 实现方式和实现原理 1. 操作指导
Linux下集成IptablesSnort构筑安全防护体系
05-08
Linux下集成IptablesSnort构筑安全防护体系
Snort IPS入侵防御系统模式
热门推荐
我回来了,就要有回来的意义
03-29 1万+
snort 经常用作入侵检测系统(IDS),进一步可以配置为入侵防御系统(IPS)。snort使用数据采集器(daq)监听防火墙数据包队列,配合snort规则动作drop、alert等处理数据包,防火墙在snort启动后添加链表队列。报文经过防火墙时,将交给snort来处理,触发入侵检测规则时立刻响应动作,屏蔽数据包。其实,入侵防御系统应该直连在网络环境当中,需要配置网桥。snort监听网桥的功能,防火墙更加要支持网桥,网桥也可以配置成透明的模式。这里只是简单的尝试snortIPS模式,配置在单机上,屏蔽
阿里云服务器snort+guardian防护环境搭建
路漫漫其修远兮
05-28 2567
下面是故障过程原始版(归纳总结版请下载附件链接) 一:服务器被攻击后解决措施 获取攻击程序对应的源IP地址 清空定时扫描任务 清空异常ssh key Redis设置密码访问(可选,待防御系统建立后可以不用修改密码) 二:安装snort,防御检测 yum install https://www.snort.org/downloads/snort/snort-2.9.16-1.centos7.x86_64.rpm yum install libdnet shell输入snort...
Netfilter/iptablesSnort联动的实现
03-12
Netfilter/iptablesSnort联动的实现,李国栋,,各种安全技术之间的联动能够弥补各自的缺陷,实现优势互补,从而建立一个全方位的防御体系。联动是今后安全技术发展的一个方向。本�
iptables的内核配置
阿Sir问道
05-26 2494
CONFIG_PACKET - 允许程序直接访问网络设备(译者注:最常用的就是网卡了),象tcpdump 和 snort就要使用这个功能。 严格地说,iptables并不需要CONFIG_PACKET,但是它有很多用处(译者注:其他程序需要),所以就选上了。当然,你不想要,不选就是了。(译者注:建议还是选的为好) CONFIG_NETFILTER - 允许计算机作为网关或防火墙。这个是必需的,因为整篇文章都要用到这个功能。我想你也需要这个,谁叫你学iptables呢:) 当然,你要给网络设备安装正确的
iptablessnort基本配置
SimoSimoSimo的博客
06-18 1379
iptable和snort基本配置
SnortIptables+Guardian构建主动防火墙.pdf
07-04
SnortIptables+Guardian构建主动防火墙.pdf
基于snortiptables的简单IPS系统的设计与实现.doc
06-25
基于snortiptables的简单IPS系统的设计与实现.doc
ubuntu查看opencv&eigen
最新发布
qhu1600417010的博客
04-26 103
也可能最后的字符串是opencv2,opencv。
在docker容器中编译 rk3588 ubuntu固件
CHNIM的博客
04-23 273
因为网络环境等原因,.repo/repo/repo sync -c --no-tags 命令更新代码可能会失败,可多次反复执行。SDK 源码存放于 gitlab,国内用户可能下载完整的 SDK 仓库速度比较慢,所以FireFly提供了一个 SDK 基础包。,国内用户只需要在此基础包上同步 gitlab 上的代码就可以了,本人使用的linux sdk基础包。我们所有的操作都在挂载的文件夹里边进行防止数据丢失。直接通过dockerfile构建方便快捷。下载完毕后得到6个压缩包文件。
ubuntu16编译mpv播放器记录
mct123的专栏
04-26 553
ubuntu16编译mpv播放器
vs code使用SSH远程连接ubuntu
qq_54193285的博客
04-23 383
本文介绍一下使用vs code的SSH远程连接Ubuntu。以上就是vs code使用SSH远程连接ubuntu的流程了。
ubuntu如何运行python程序
hakesashou的博客
04-23 301
python3后面输入文件名字就可以执行PYTHON文件了。如果已经安装好python3,直接输入,那么就会进入。输入python,如果没有安装,就会提示需要安装。exit()就可以退出python3的模式。打开LINUX UBUNTU操作系统。找到左边的TERMINAL,打开窗口。创建一个文件,注意要以py为后缀。在文件里面输入代码。
CARLA (I)--Ubuntu20.04 服务器安装 CARLA_0.9.13服务端和客户端详细步骤
选好坑 挖好坑 才会结出好的果子
04-26 670
CARLA (I)–Ubuntu20.04 服务器安装 CARLA_0.9.13服务端和客户端详细步骤
snort安装与配置
12-05
以下是Snort安装与配置的步骤: 1.安装Snort 可以通过以下命令在Ubuntu上安装Snort: ```shell sudo apt-get install snort ``` 2.配置Snort Snort配置文件位于/etc/snort/snort.conf。你可以使用以下命令备份原始配置文件: ```shell sudo cp /etc/snort/snort.conf /etc/snort/snort.conf.bak ``` 然后,你可以使用文本编辑器打开配置文件并进行更改: ```shell sudo nano /etc/snort/snort.conf ``` 在配置文件中,你可以更改全局设置、预处理器选项、输出选项以及规则集等。根据需要调整这些选项来满足自己的需求。 3.测试配置 你可以使用以下命令测试配置是否正确: ```shell sudo snort -T -c /etc/snort/snort.conf ``` 如果出现“Snort successfully validated the configuration!”就表示配置成功!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值