如何让Snort运行多个实例

已于 2024-01-30 17:17:48 修改
阅读量354 收藏 8
点赞数 4
文章标签: linux 运维 服务器 snort
于 2024-01-30 17:15:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcgweb/article/details/135937368
版权

         在《手动构建Snort系统》这门课中我们学习过Snort的原理和源码编译过程,Snort2是个单线程的IDS,但还是有一些同学想知道如何让Snort运行多线程,今天通过几个实验来实现。Snort3的情况我们下期再讨论。

      实验环境我们在CentOS 7VM虚拟机中(Snort已安装配置完成)进行。

准别工作:

#yum install gdb psmisc sysvini-tools -y

我们先查看一下系统总线程数:

#grep 'processor' /proc/cpuinfo | sort -u | wc -l

接着执行下面的命令

# snort -G 1 --pid-path /var/run/snort/p1/ --create-pidfile -c /etc/snort/snort.conf -l /var/log/snort/instance-1/ -i ens33 -q -D
# snort -G 2 --pid-path /var/run/snort/p2/ --create-pidfile -c /etc/snort/snort.conf -l /var/log/snort/instance-2/ -i ens33 -q -D

进程启动时间

[root@localhost ~]# ps -ef |grep snort

root       1823      1  0 04:30 ?        00:00:00 snort -G 1 --pid-path /var/run/snort/p1/ --create-pidfile -c /etc/snort/snort.conf -l /var/log/snort/instance-1/ -i ens33 -q -D

root       1898   1830  0 04:39 pts/1    00:00:00 grep --color=auto snort

[root@localhost ~]# ps -eo pid,lstart,etime | grep 1823

  1823 Mon Mar 14 04:30:46 2022       08:27

注释:taskset 查询或设置进程(线程)绑定CPU。通过 taskset 命令可将某个进程与某个CPU核心绑定,使得其仅在与之绑定的CPU核心上运行。

样方法启动第二个实例

snort -G 1 -A fast -U -b -d -e -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort/ -i ens33

snort -G 2 -A fast -U -b -d -e -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort/ -i ens33

检验成果:

我们用pstree –apnh |grep snort命令查看

 好了这个简单的多线程实验就完成了,大家在实验过程中如有疑问可以留言。

2023年度 51CTO杰出讲师评选开始啦,期待大家投上宝贵一票! 李晨光的网络课堂,李晨光 网络管理,Linux 大讲堂 - 51CTO学堂

OpenSource SIM
关注
arm 平台安装snort3
yingjian2215的博客
02-05 1781
Snort3是一款开源的入侵检测和防御系统(IDS/IPS),它是Snort项目的最新版本。Snort3具有高度可配置性和灵活性,可以用于实时监测和分析网络流量,以便检测和阻止潜在的网络攻击。Snort3采用了模块化的架构,可以通过加载不同的插件来扩展其功能。它支持多种检测引擎,包括基于规则的检测、基于协议的检测和基于机器学习的检测。Snort3还提供了强大的日志记录和报警功能,可以生成详细的报告和警报,帮助管理员及时发现和应对网络安全威胁。
将DPDK移植到snort上的DAQ
一元硬币
08-06 6182
DAQ 与Snortsnort-daq中,daq的控制流程是这样的。 如上所述,Snort在初始化的时候载入了daq。这个时候snort的所调用的api是daq_load_modules。也就是说,这个时候在主线程没有启动网卡,初始化实例的操作。 在初始化整个snort之后(载入配置,载入daq及其他各个模块等等)。snort就进入了分析的阶段了。这个阶段的主角是 pig,或者说更本质的
Netfilter/iptables与Snort联动的实现
03-12
Netfilter/iptables与Snort联动的实现,李国栋,,各种安全技术之间的联动能够弥补各自的缺陷,实现优势互补,从而建立一个全方位的防御体系。联动是今后安全技术发展的一个方向。本�
snort和iptables联动测试
qq_53596623的博客
04-25 1719
主要记录自己实验的,部分文件位置和命令因为安装情况不一样,根据自己情况改了。
Snort3:使用说明(四)
魔神8号的博客
11-16 1495
通过命令行,仅能指定输出警报信息到标准输出。可通过修改配置文件,来使其输出到文件中。在配置文中定义了对应alert_*模块的表,即表示使能了该模式。帮助信息中会显示模式的可用配置项,这些配置项可以 snort 配置文件中进行配置。读取pcap文件(也可使用-i选项指定网口抓包),转存到 log 目录中。按上述配置文件后,警报文件会输出到 -l 指定的目录中,文件名固定为。此选项可以多次指定,以设置多个规则文件。实际验证,警报模式会影响该选项输出。实际验证,警报模式会影响该选项输出。命令行中最多指定一次。
Snort3:新一代开源网络入侵检测系统
gitblog_00099的博客
03-23 606
Snort3:新一代开源网络入侵检测系统 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个强大的开源网络安全工具,用于实时流量监控、网络入侵检测和预防。作为 Snort 系列的最新版本,Snort3 提供了显著的性能提升和现代化的设计,使它成为企业级安全解决方案的理想选择。 技术分析 高效与可扩展性 Snort3 利用了多线程处理和事件驱动的架构,使其在处理大量网...
snort_manual.pdf
09-18
手册还介绍了如何让Snort作为守护进程运行、在规则存根创建模式下运行、混淆IP地址打印输出、指定多个实例标识符、定义控制套接字、配置信号值等。 5. 其他资源 除了上述内容,Snort用户手册还提供了指向更多资源的...
Snort 手册
07-22
手册内容涵盖Snort的安装、配置、运行以及后期的事件分析等多个方面。其中,Snort提供多种运行模式,包括嗅探模式(Sniffer Mode)、数据包记录模式(Packet Logger Mode)和网络入侵检测系统模式(Network ...
snort用户手册
07-31
在高级配置方面,Snort手册还介绍了如何配置信号值、控制套接字、运行Snort作为守护进程、规则存根创建模式、隐藏IP地址打印、指定多个实例标识符、不同Snort工作模式等。 Snort的事件处理机制包括速率过滤、事件...
charlotte:Snort统一文件到数据库处理器,类似于仓库,但是可以更好地处理大型Snort部署
05-13
夏洛特 Snort统一文件到数据库处理器,类似于仓库,但是可以更好地处理大型Snort部署 ...在高带宽链接的部署中,通常您需要每个链接运行多个snort实例,使用东西来分发数据包。 当您执行此操作时,最理想的是将所
snort配置手册
05-19
- **多实例标识**: 允许多个Snort实例同时运行。 - **运行模式**: 支持嗅探、包记录和NIDS三种主要模式。 #### 1.10 控制套接字 - **功能**: 通过控制套接字实现对Snort进程的远程控制。 - **应用场景**: 方便管理...
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报
最新发布
weixin_45266856的博客
05-16 2562
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
入侵检测IDS学习--snort基础
程序狗的成长之路
07-24 2156
1.BM算法 BM匹配算法是Boyer和Moore两人在KMP算法的启发下,提出的一种字符串快速匹配算法。它采用自右向左的方式扫描模式(P表示)与正文(T表示),一旦发现正文中出现模式中没有的字符时就可以将模式、正文进行一个大幅度的偏移。模式与正文在匹配比较的过程中,将P与T左对齐,即P[1]与T[1]对齐。匹配从P 的最右端字符开始,判断P[strlen(P)](strlen(p)为模式长度)
解析Snort的TCP流重组
yang_oh的博客
07-11 3505
关于TCP重组 TCP报文段在网络中传输常见的问题包括,因丢包造成的重传,因网络情况造成的报文乱序,为增加性能重传更大的报文段造成报文重叠,等等,通常情况下,内核TCP协议栈会解决这些问题,保证应用层数据的可靠有序。但对于运行在非应用层模块例如传输层以下或不经过内核的功能模块,就应该考虑是否需要解决TCP重传、重叠、乱序等问题,例如这些功能模块希望http协议被正常解析,那么必然要解决上述问题。 ...
开源IDS:Snort还是Suricata?[更新于2019]
weixin_33889245的博客
04-11 1299
尽管早期类型的网络***检测系统一直要追溯到20世纪80年代早期,但当Martin Roesch创建他的免费和开源IDS系统SNORT时,IDS的概念起飞了。由于其轻巧的设计和灵活的部署选项,Snort的用户群在接下来的几年中迅速增长。2001年,Martin Roesch创建了Sourcefire公司(2013年被思科收购),使用基于SNORT的商业IDS产品。SNORT的...
Snort 与 Suricata功能比较
weixin_34269583的博客
10-05 4524
因为pfSense与OPNsense在IDS上使用不同的引擎,前者使用Snort,后者使用SurIicata,本文对这两种IDS进行简单的介绍。至于pfSense和OPNsense有什么不同,请参考这篇文章。Snort自发布以来,多年来一直是事实上的IDS引擎,它拥有庞大的用户社区,以及范围广泛的Snort规则订阅者,这些规则不断扩大,促进了Snort的普及和推广。尽管与Sn...
Snort源码分析
bobozai86的博客
07-26 5257
       Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort功能。所有这些子模块都建立在数据包截获库函数接口Libpcap的基础上,Libpcap为他们提供了一个可移植的数据包截获和过滤机制。 snort源代码主要由以下几个主要部分构成: snort.c   s...
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1373
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件;插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
snort 内存池源码实现分析
guoguangwu的专栏
03-10 465
源码mempool.h|csf_sdlist_types.h 内存池涉及几个动作 :初始化、分配、释放、销毁、清空 底层使用两个链表实现内存的分配used_list与释放回收free_list int mempool_init(MemPool *mempool, PoolCount num_objects, size_t obj_size); int mempool_destroy(M...
Snort用户手册:网络入侵检测详解
- 多实例标识:支持在同一系统上运行多个独立的Snort实例。 8. 读取pcap文件 Snort支持读取pcap文件,这是一种常见的网络数据包捕获格式。用户可以指定命令行参数来处理这些文件,手册中给出了具体示例。 9. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值