Snort搭建

最新推荐文章于 2023-08-19 09:41:49 发布
最新推荐文章于 2023-08-19 09:41:49 发布
阅读量2.2k 收藏 12
点赞数 1
分类专栏: 安全 文章标签: snort

最近搭建Snort,踩了不少坑,终于找到了一篇靠谱的文章,CentOS6.6基于snort+barnyard2+base的 入侵检测系统的搭建,感谢这位作者的分享,以下是我按照文章步骤进行实验的笔记。

一、准备工作

环境:Vmware+CentOS 6
snort+barnyard2+base
文件下载

备注:
- base:基于PHP,可以搜索、处理各种IDS、防火墙、网络监视工具生成的安全事件数据;
- libdnet:提供的简单、可移植的接口来操作底层网络,包括:网址操作、内核 arp(4) 缓存和 route(4) 表查找和操作、网络防火墙 (IP filter, ipfw, ipchains, pf, PktFilter, …)、网络接口查找和操作、IP tunnelling (BSD/Linux tun, Universal TUN/TAP device)、原始 IP包和以太网帧传输

二、安装配置LMAP

1、安装apache

yum install -y httpd
  • 配置文件路径:/etc/httpd/conf/httpd.conf
  • web目录:/var/www/html
  • Apache模块路径:/usr/sbin/apachectl

2、安装php及插件

yum install -y php php-mysql php-mbstring php-mcrypt php-gd mcrypt libmcrypt libmcrypt-devel
php --version #查看php版本
  • php的配置文件:/etc/php.ini

3、安装pear

yum install -y php-pear
pear upgrade pear
pear channel-update pear.php.net
pear install mail
pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman
pear install  mail_mime

4、安装mysql

yum install -y mysql mysql-server mysql-devel
mysql --version #查看mysql版本
  • mysql数据目录:/var/lib/mysql
  • mysql配置文件:/etc/my.cnf
  • mysqldump文件位置:/usr/bin/mysqldump

5、安装adodb

tar -zxvf adodb5.20.9.tar.gz -C /var/www/html
mv /var/www/html/adodb5 /var/www/html/adodb #重命名

6、安装base

tar -zxvf base-1.4.5.tar.gz -C /var/www/html
mv /var/www/html/base-1.4.5 /var/www/html/base

7、修改php.ini

vi /etc/php.ini
 error_reporting = E_ALL & ~E_NOTICE

8、修改权限

chown -R apache:apache /var/www/html
chmod 755 /var/www/html/adodb

9、配置mysql

tar -zxvf barnyard2-1.9.tar.gz
service mysqld start #启动mysql
mysql -u root #使用root登录,默认不用密码
use mysql
update user set password=password('123456') where user='root'; #设置用户root的登录密码
create database snort;
grant create,select,update,insert,delete on snort.* to snort@localhost identified by '123456'; #创建名为snort、密码为123456的数据库用户并赋予名为snort数据库权限
exit #退出
mysql -u snort -p -Dsnort < /root/Desktop/snort/barnyard2-1.9/schemas/create_mysql #根据特定的格式创建数据库表

#进入mysql验证表是否创建成功
mysql -u root -p
123456 #密码
use snort;
show tables; #查看snort数据库中表是否创建成功,成功如图

10、配置base

service mysqld start #启动mysql
service httpd start #启动apache
chkconfig iptables off #关闭防火墙

(1)用浏览器打开127.0.0.1/base/setup/index.php

(2)选择【Continue】后,选择显示语言,设置adodb路径

(3)配置数据库,名称为snort,用户名密码是之前设置过的snort,123456

(4)设置admin用户名密码

(5)选择【Create BASE AG】

(6)成功会显示红色”successfully created”

(7)选择【step 5】,成功安装

三、安装配置Snort和barnyard2

1、安装依赖包

yum install –y gcc flex bison zlib libpcap tcpdump gcc-c++ pcre* zlib* libdnet libdnet-devel

2、安装libdnet

tar -zxvf libdnet-1.12.tgz
cd libdnet-1.12
./configure
make
make install

3、安装libpcap

tar -zxvf libpcap-1.0.0.tar.gz
cd libpcap-1.0.0
./configure
make
make install

4、安装DAQ

tar -zxvf daq-2.0.4.tar.gz
cd daq-2.0.4
./configure
make
make install

5、安装Snort

tar -zxvf snort-2.9.7.0.tar.gz
cd snort-2.9.7.0
./configure
make
make install

6、配置Snort

mkdir /etc/snort
mkdir /var/log/snort #存放日志文件
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/rules #存放规则
touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules #黑白名单
cp /root/Desktop/snort/snort-2.9.7.0/etc/gen-msg.map threshold.conf classification.config reference.config unicode.map snort.conf /etc/snort/

#编辑配置文件
vi /etc/snort/snort.conf
#修改路径
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
#设置log目录
config logdir:/var/log/snort
#配置输出插件
output unified2:filename snort.log,limit 128

7、配置默认规则

tar -zxvf snortrules-snapshot-2970.tar.gz -C /etc/snort/
cp /etc/snort/etc/sid-msg.map /etc/snort/

8、测试Snort

snort -T -i eth1 -c /etc/snort/snort.conf

参数解释:
-T 指定启动模式:测试
-i 指定网络接口
-c 指定配置文件

出现下图”successfully”,说明配置完成

9、安装barnyard2

#之前解压过barnyard2,所以直接cd到解压后的目录
cd root/Desktop/snort/barnyard2-1.9
./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/
make
make install

10、配置barnyard2

mkdir /var/log/barnyard2
touch /var/log/snort/barnyard2.waldo
cp /root/Desktop/snort/barnyard2-1.9/etc/barnyard2.conf /etc/snort

#修改配置文件
vi /etc/snort/barnyard2.conf
config logdir:/var/log/barnyard2
config hostname:localhost
config interface:eth0
config waldo_file:/var/log/snort/barnyard.waldo
output database: log, mysql, user=snort password=123456 dbname=snort host=localhost

11、测试barnyard2

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo

参数解释:
-c 指定配置文件
-d 指定log目录
-f 指定log文件
-w 指定waldo文件

出现下图”waiting for new data”,说明配置成功

四、测试IDS

1、添加规则

vi /etc/snort/rules/local.rules
#添加一条检查ping包的规则
alert icmp any any -> any any (msg: "IcmP Packet detected";sid:1000001;)

规则注解:
alert:触发规则后做出的动作
icmp:协议类型
第一个any:源IP(网段),any表示任意
第二个any:源端口,any表示任意
“>”:表示方向
第三个any:目标IP(网段),any表示任意

第四个any:目标端口,any表示任意

Msg字符:告警名称

Sid:id号,个人编写的规则使用1,000,000以上
注意空格

2.启动IDS

service mysqld start 
service httpd start   
chkconfig iptables off
barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -D
snort -c /etc/snort/snort.conf -i eth0 –D
#-D选项用来让命令转入后台运行

3.测试IDS

向安装了Snort的机器的IP发送ping包,刷新base页面,可以看到ICMP告警 

tail /var/log/snort/alert #查看告警日志

手动停止IDS命令:

killall -9 snort barnyard2

参考:

http://www.secbox.cn/skill/8796.html
http://blog.csdn.net/u013816144/article/details/53729153
http://www.cnblogs.com/shadowturtle/archive/2012/11/16/2773445.html

林动破千穹
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
搭建snort环境并测试简单规则1~3.zip
03-17
Linux CentOS 6.5下搭建snort环境并测试简单规则(实验报告)
snort 搭建手册和安装包
12-20
本篇文章将详细介绍如何利用Snort搭建一个有效的网络安全防护体系,并结合Web界面进行管理和监控。 首先,安装Snort之前,你需要确保你的系统环境支持Snort的运行。Snort通常在Linux环境下工作,例如Ubuntu、CentOS...
入侵检测与防御学习系列2——snort与其基础环境的安装配置
Mydyzdy_的博客
08-19 1080
入侵检测与防御学习系列2——snort与其基础环境的安装配置
Snort搭建以及规则编写
xhscxj的博客
11-21 3992
它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中。我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐。
云安全技术——Snort安装与配置
qq_53142796的博客
05-08 3415
Snort是一个开源的网络入侵检测系统,主要用于监控网络数据包并检测可能的攻击行为。它可以实时分析网络流量,识别多种类型的网络攻击,如端口扫描、DoS攻击、入侵尝试等,并对这些攻击进行警告或阻止。1.Snort的工作原理:Snort使用规则引擎来检测网络流量中的攻击行为。它可以在三个不同的模式下运行:嗅探模式、包记录模式和网络入侵检测模式。2.Snort的配置文件:Snort的配置文件包含全局设置、预处理器选项、输出选项以及规则集等。用户可以根据需要调整这些选项来满足自己的需求。3.
windows下安装snort,以及简单使用
LainWith的博客
09-15 9435
环境准备配置环境变量启动snort配置规则排雷小试牛刀编写规则捕获并过滤出命令注入的数据包分析数据包查看结果 环境准备 在虚拟机win7下安装snort 准备软件: 疯狂下一步,没什么好说的 snort: https://www.snort.org/downloads npcap:https://nmap.org/npcap/ 完事后,你可以在C盘下看到snort 配置环境变量 这一步的主要作用是为了避免非得跑到snort的bin目录下才能运行snort,配置了环境变量你可以在任意位置运行snor.
centos7部署snort步骤
04-25
描述了在centos7系统下部署snort的步骤,包括需要使用的插件,以及部署过程中需要注意的问题。
搭建snort+base入侵检测系统需要的所有安装包
12-12
windows系统下搭建snort+base入侵检测系统需要的必要工具的安装包,其中包含ADOdb-5.20.12.zip、appserv-win32-8.6.0.exe、base-1.4.5.tar.gz、Snort_2_8_6_Installer.exe、WinPcap_4_1_3.exe、snortrules-snapshot-...
Snort环境资源包.zip
06-25
本资源包“Snort环境资源包.zip”显然是为了在Windows平台上搭建Snort环境而准备的。以下是对包内文件的详细解读: 1. **3088982_Snort_2_8_6_Installer.exe**:这是Snort的安装程序,版本为2.8.6。Snort可以检测...
Linux 启动snort服务,系统运维|在 Ubuntu 15.04 中如何安装和使用 Snort
weixin_42469649的博客
05-10 211
对于网络安全而言入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络中非法与恶意的请求。Snort是一款知名的开源的入侵检测系统。其 Web界面(Snorby)可以用于更好地分析警告。Snort使用iptables/pf防火墙来作为入侵检测系统。本篇中,我们会安装并配置一个开源的入侵检测系统snortSnort 安装要求snort所使用的数据采集库(DAQ)用于一个调用包捕获库的抽象层...
【转】Snort 命令参数详解
11-09 239
转载自《Snort 命令参数详解》 用法: snort -[options] <filters> 选项: -A <alert> 设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b 用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B <mask&g...
安装snort时,无法定位——Kali机update时出现问题
xiannvyeye的博客
03-17 713
重新下载snort,下载成功!(中间会遇到一个不兼容的问题,选择Y/I即可,忘记截图了)原因:数字签名出错导致,无法更新,根本原因是数字证书失效,解决方法见问题3的解决方法。①打开 /etc/apt/sources.list 文件。上述问题都解决后,再update一下,历经漫长的等待~②用#把默认官方源注释掉,添加正确的源。原因:源中不包含snort。解决方法:申请新证书。
20221910 2022-2023-3 《网络攻防实践》第5周作业
weixin_44373690的博客
04-01 307
Linux开源防火墙:netfilter/iptables netfilter/iptables组合是目前Linux开源操作系统中普遍使用的防火墙技术解决方案。 其中netfilter是Linux内核中实现的防火墙功能模块,实现了静态包过滤和状态报文检查(即动态包过滤)基本防火墙功能,此外也支持一个灵活可扩展的框架,支持NAT网络地址转换等其他额外功能。
mysql输入dnetstart无法启动_linux系统centos搭建***检测系统snort及问题总结与解答
weixin_39653448的博客
01-20 128
linux系统centos搭建***检测系统snort及问题总结与解答一、环境准备1.安装Centos6(安装选择开发环境,这样可以少装一些开发包),设置NAT获取,让系统可以上网,外加一台XP用于测试(可用可不)。2.安装wget(本身不带)3.更换源(也可以不换,有的源有时候一些软件没有和速度很慢,自行选择)#mv /etc/yum.repos.d/CentOS-Base.repo/etc/y...
Centos 8 stream安装snort3(2023年2月3日更新部分问题)
shen5528744的博客
01-11 1209
Centos 8 stream安装snort3,安装时间2023年1月11日,亲测成功。
【踩坑记录】如何在Kali下安装Snort
隰有芦荻的博客
12-17 2986
Kali安装Snort
ERROR: C:\snort\etc\snort.conf(489)=>unable to open addreess file c:\snort\etc\C:\snort\rules\white
missingu1314的专栏
05-09 4772
我在安装的时候还遇到了这个问题就是: 自己明明在snort.conf中配置了RULE_PATH C:\snort\rules 但是在运行命令时,老是显示说 ERROR: C:\snort\etc\snort.conf(489)=>unable to open addreess file  c:\snort\etc\C:\snort\rules\white_list.rules, Error:
Snort的安装与使用
热门推荐
www1234的博客
03-21 2万+
Snort的安装与使用一、Snort基础       snort 是一个开源的轻量级入侵检测系统(NIDS),使用C语言编写。支持windows、Linux平台,我比较喜欢linux操作系统,所以在linux上学习研究snortsnort有三种工作模式,包括:嗅探、记录数据包、入侵检测。1.1、Snort的规则头1.1.1、规则动作       规则的头包含了定义一个包的who,where和wh
snort命令行配置参数
funtasty的专栏
12-12 1562
用法:  snort -[options] 选项:  -A 设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b    用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B 将IP地址信息抹掉,去隐私化。  -c 使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。 -d    显示包的应用层数据。  -D
linux系统搭建入侵检测系统snort新手
最新发布
12-05
搭建入侵检测系统snort是一项基于Linux系统的技术任务,对于新手来说,以下是一些简要的步骤和注意事项。 首先,确保你的Linux系统已经正确安装和配置,并具备网络连接功能。接下来,你可以按照以下步骤来搭建snort...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值