假设您已经付出了几个月乃至几年的时间来学习最热门的Web技术。您阅读了developerWorks的文章,购买了相关图书,在您的Mac OS X终端和Windows® shell上进行了试验。您已经设法构建了一个非常出色的约有100个页面的Web应用程序———有一部分是静态HTML,还有一部分由PHP脚本生成。您已经开始添加某些Ajax技术和特效,使您的站点更具交互性,更具响应能力。您正处于Web编程世界的巅峰。
然而某一天早上醒来之后,您突然发现站点上全是某个与您毫无相关的站点的全页横幅广告。此外,您的购物车也慢得跟蜗牛一样,因为数千个无用数据包正在冲击您的Web站点,这也使客户烦恼和愤怒。
尽管听起来很有戏剧性,但大多数认真的Web开发人都知道有些人已经遇到过类似的场景,或者自己亲身经历过这样的场景。无论您的站点或应用程序有多出色,只要未得到周全的保护,即便是相当成功的,也会成为攻击的目标。无论是十二岁的顽童,还是作为商业间谍的专业黑客,Web站点都是非常脆弱的,比其他类型的应用程序更容易受到攻击。只要每个月支付20美元(或者掌握一点接线技巧),任何人都可以随意访问Internet。您的任务是保护站点,而不仅仅是开发站点。
Snort:一种入侵检测工具
对于大多数系统和网络管理员来说,Snort是一种常见的、熟悉的工具。遗憾的是,Web程序员并不这样认为。如果提到Snort,他们就将它与traceroute和ipconfig等技术混同起来,认为那不是Web开发人员应该管的。
然而,Snort绝不仅仅是一种管理员的工具。它是一种入侵检测系统——而不仅仅是工具。尽管主要通过命令行使用,但Web程序员以及管理员也可轻松访问它。它是开源的,也就是说,它是免费的,与大多数开源工具不同,它得到了非常完善的维护。有着全面的文档(包括在线形式和图书形式,请参见 参考资料 中提供的链接),在您阅读本文(或许是本系列的下一期)时,您将与众多网络和安全性管理员一样熟悉Snort。
那么究竟什么是入侵检测系统?
今天开放网络的数量达到历史高峰。内部网依然很常见,但可通过其他方式公开访问的站点中受保护的部分更加常见。对于企业黑客来说,要做的工作并不是很复杂。他们不必再去尝试潜入网络并找到毫不了解的域或网络,只需进入自己了解的某个网络的一部分即可。
入侵检测将识别对网络的非常规访问;这种访问与以不当的方式访问Web页面一样简单(或许是受保护的管理表单或shell对Web站点的整个根目录的访问)。另一方面,入侵可能非常复杂,例如更改DNS表,使得对一个站点的请求权不重定向到其他由黑客控制的域中,或使用一个更加随意的文件来替代Apache Web服务器上的.htaccess文件,允许黑客添加、删除和更改用户信息——包括密码在内。
当然,检测部分的核心就是识别并防止这种情况发生。因此,谈论入侵检测的工具或系统时,内容涉及到来自Cisco的高端专业防火墙和简单的Snort安装等等。并非有很多组织能够为高端硬件投入大量资金,因此像Snort这样的开源应用程序非常适合实施基本的入侵检测,而带来的费用和麻烦较少。
三种关键的基本功能
#包嗅探:Snort 可以针对它所在的机器监视进入和出去的包。它还可以监视它所运行的网络中大量正在传输的包。这是 Snort 最基本的功能,以包的形式检测和观察网络通信量是所有其他功能的基础。
#包记录:Snort 不仅可以实时监视包,还可以记录这些包。日志功能可以使您手动或自动处理这些包,并记录已发生的事件。不论是否正在清理旧包来检测入侵,或是 Snort 根据所记录的内容发出软件警告,包记录功能使 Snort 从一个实时工具转到一个可以以不同形式持久存储数据的工具。
#入侵检测:从很大程度上讲,入侵检测实际上就是结合了包嗅探和记录功能,并在其上添加一层自动智能层。一个入侵检测系统(即 IDS)具有一个包含网络状态信息的规则集,可以针对网络中可疑的状态进行监视并发出响应。
以上内容来自:https://www.ibm.com/developerworks/cn/web/wa-snort1/index.html?ca=drs-
上官网https://www.snort.org/按步骤安装:但是会遇到一些问题(有很多依赖包需要安装)
我这里用Centos7.2 64位和Debian8.6 64位做的试验
首先如果你没有安装gcc的话,请先安装
Centos7.2:
yum -y install gcc
Debian8.6:
apt-get install gcc
但在./configure && make && sudo make install这一步开始报错
1.
configure: error: Your operating system's lex is insufficient to compile
libsfbpf. You should install both bison and flex.
flex is a lex replacement that has many advantages,
including being able to compile libsfbpf. For more
information, see http://www.gnu.org/software/flex/flex.html .Centos7.2
yum -y install bison flex
Debian8.6
apt-get -y install bison flex
2.
ERROR! Libpcap library version >= 1.0.0 not found.
Get it from http://www.tcpdump.orgwget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
tar -zxvf libpcap-1.0.0.tar.gz
cd libpcap-1.0.0
./configure && make && make install
在./configure --enable-sourcefire && make && sudo make install这步又开始报错
3.
ERROR! Libpcre header not found.
Get it from http://www.pcre.orgyum -y install pcre-devel
Debian8.6
apt-get -y install libpcre3 libpcre3
4.
ERROR! dnet header not found, go get it from
http://code.google.com/p/libdnet/ or use the --with-dnet-*
options, if you have it installed in an unusual place
make: *** No targets specified and no makefile found. Stop.Centos7.2
yum -y install libdnet-devel
Debian8.6
apt-get -y install libdumbnet-dev
5.
ERROR! zlib header not found, go get it from
http://www.zlib.net
make: *** No targets specified and no makefile found. Stop.Centos7.2
yum -y install zlib-devel
Debian8.6
apt-get -y install zlib1g-dev
检测:执行命令snort -V
,,_ -*> Snort! <*-
o" )~ Version 2.9.11 GRE (Build 125)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2017 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.0.0
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
6752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
