home-ids-with-snort-and-snorby

最新推荐文章于 2024-04-11 00:52:37 发布
最新推荐文章于 2024-04-11 00:52:37 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 文章标签: snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/70939708
版权

参考:
https://techanarchy.net/2015/01/home-ids-with-snort-and-snorby/

需要的组件

  • snort 监控原始流量,并将原始流量与rules对比
  • PulledPort rule管理应用
  • Barnyard2 处理由snort产生的alerts并将其变成数据库的格式
  • Snorby 写入到数据库的event数据展示的前端界面
  • Barnyard2 is a dedicated spooler for Snort’s unified2 binary output format. Packet processing is very resource intensive, so to reduce the load on the Snort process: we have Snort save suspicious packets to a directory in a native binary format without processing the packets. Barnyard2 then asynchronously processes those packets and saves them in a MySQL database.
  • PulledPork is a Perl script that automatically downloads the latest Snort rulesets. Since the threat landscape is constantly evolving, new rulesets are required by Snort to identify the latest types of suspicious traffic (rulesets are similar to antivirus signatures).

- Snorby provides a web front-end to query and analyze the alerts coming from a Snort system.

参考:http://sublimerobots.com/2015/12/snort-2-9-8-x-on-ubuntu-part-1/
作者的环境是 Virtual Ubuntu 14.04-x86_64 server, 2G RAM,这对于小型家庭网络足够了。
有两个网卡。一个用于管理(可以是无线网),另一个运行在混杂模式(promiscuous)

参考:http://www.ubuntu-howtodoit.com/?p=138
Snort is wrting to the correct binary log file. Barnyard is reading those logs. Barnyard is writing the events to the MySQL database.

Barnyard is an output system for Snort. Snort creates a special binary output format called unified. Barnyard reads this file, and then resends the data to a database backend.

参考:http://www.forensicswiki.org/wiki/Barnyard2

The waldo.file helps Barnyard keep a checkpoint of what data it has processed. The references to gen-msg.map and sid-msg.map help Barnyard translate generators and Snort IDs into human-readable formats.

参考:http://searchitchannel.techtarget.com/feature/Getting-Barnyard-working-with-Snort-databases

base

开启snort + barnyard2 + base 之后还是蛮有用的嘛。每次继续开启kali虚拟机的时候都会向我询问是否允许网络监听,开始觉得有点奇怪,想了一下才想到是snort在监听kali的eth0网络接口,使其变成混杂模式,能够监听局域网的流量,然而之前我对他是半信半疑,因为我监听无线局域网时并没能捕获到有用的内容,但是这次snort没有让我失望,从base展示的可以看出,确实捕获到了局域网的其他主机的ICMP流量。
这里写图片描述
另外从mysq数据库中也能找到日志的记录(barnyard2的功劳)。
这里写图片描述

caiqiiqi
关注
专栏目录
snortIDS
09-08
snort,IDS,NIDS,入侵检测系统
snort构建***检测系统IDS
weixin_34209406的博客
02-21 199
snort简介 snort是一个基于libpcap的数据包嗅探并可以作为一个轻量级的网络***检测系统(NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。 snort工作模式 sn...
snort,IDS,入侵检测系统
08-21
snort.exe snort,IDS,入侵检测系统
Snort: IDS and IPS toolkit
cnbird's blog
07-14 939
http://books.google.com/books?id=M9plZZxJB_UC&printsec=frontcover&dq=Snort:+IDS+and+IPS+toolkit http://books.google.com/books?q=Snort%3A+IDS+and+IPS+toolkit+&btnG=Search+Books
IDSsnort复习
3-Number
05-24 809
最近在做流重组、规则引擎,不禁想起以前利用过的开源snort,现在复习之。转载:http://safe.it168.com/a2012/0731/1379/000001379177_all.shtml         我们都知道,企业的网络目前威胁主要来自两个位置:一个是内部,一个是外部。来自外部的威胁都能被防火墙所阻止,但内部的攻击都不好防范。因为公司内部人员对系统了解很深且有合法访问权限
javasnmp源码-IDS-Evasion:规避Snort入侵检测系统
06-04
snmp源码IDS-规避 指数 Snort 可以识别的攻击 ElasticSearch动态脚本任意Java执行(): 大多数 snort 规则都被注释掉了。 因此,我们需要通过产品名称(即在我们的示例中为“ElasticSearch”)或更好地通过 CVE(即在...
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷...
snort-rules:Snort规则(IDS规则)的非官方Git存储库发布
05-07
Snort.org Talos规则 Snort Rules(R)的非官方Git存储库从发布规则 新兴威胁规则 滥用规则 来自规则 积极技术的攻击检测 来自规则 其他规定 如果您喜欢这个仓库,请留下星星! 随着时间的推移观星人
ids-machine-learning:基于机器学习技术的IDS
02-04
ids机器学习 创建虚拟环境 pip install virtualenv virtualenv env 活动和安装软件包 source env/bin/activate pip install -r requirements.txt 跑 建立KMeans集群并测试准确性 python main.py ./flatc --python ...
sdn-apps-for-dfr:基于Ryu的软件定义网络应用程序,基于Snort IDS实现了数字取证准备框架
02-05
该项目利用Ryu SDN控制器来构建应用程序,并结合Snort入侵检测系统(IDS)以实现对网络活动的深入监控和取证准备。 SDN是一种网络架构,它将网络控制平面与数据转发平面分离,使得网络流量可以通过可编程的方式进行...
linux(centos)系统安全snort——搭建入侵检测系统IDS
07-18
这是本人亲自测试整理和调试过的实验报告文档,本人亲测过没有问题的snort在linux系统中搭建步骤报告文档,为了和大家分享学习!
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总-附件资源
03-05
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总-附件资源
snort for snorby ***检测系统搭建
weixin_34262482的博客
05-08 285
搭建一个***检测系统简单介绍一下:Snorby是一个Ruby on Rails的Web应用程序,网络安全监控与目前流行的***检测系统(Snort的项目Suricata和Sagan)的接口。该项目的目标是创建一个免费的,开源和竞争力的网络监控应用,为私人和企业使用1、在安装snorby之前,需要安装Ruby, ImageMagick, Rails 和 Wkhtmltopdf...
IDSsnort
weixin_34072637的博客
05-23 246
2019独角兽企业重金招聘Python工程师标准>>> ...
snort环境及IDS测试
luoshiyong123的博客
03-18 2747
本文介绍内容如下: 1.snort规则 2.snort环境搭建 3.snort模式 4.snort执行参数 5.snort IDS测试 6.关于snort.conf参考:https://blog.csdn.net/jo_say/article/details/6302367 测试部分参考:https://www.cnblogs.com/lasgalen/p/4512755.html ...
IDS入侵检测系统(snort)刚出炉滴
风花雪月
10-12 8027
IDS依照一定的安全策略,通过软件或者硬件,对网络、系统的运行状况进行监控,尽可能发现各种攻击企图、攻击行为和结果,以此保证网络系统资源的机密性、完整性和可靠性。一般来说IDS是作为防火墙的补充,处于防火前之后,可对网络进行实时监测,并记录,对于企业安全来讲,IDS入侵检测系统是不可或缺的!
【网络安全实验】snort实现高级IDS
weixin_52553215的博客
02-01 1580
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则在snort中的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
【网络安全实验】snort实现高级IDS,2024年最新2024-2024字节跳动网络安全面试真题解析
最新发布
2401_84240742的博客
04-11 858
Snort的安装目录#存储过滤规则和服务器黑白名单#创建日志目录#调整权限。
EC-COUNCIL 312-50 V10 CEH 认证考试 DEMO 下载
第一台机器(192.168.0.99)安装了 Snort,第二台机器(192.168.0.150)安装了 Kiwi Syslog。你在网络中执行了同步扫描,并注意到 Kiwi Syslog 未接收到来自 Snort 的警报消息。你决定在网络中运行 Wireshark... **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值