CentOS6.5基于snort+barnyard2+base的 入侵检测系统的搭建

最新推荐文章于 2022-02-23 11:15:16 发布
最新推荐文章于 2022-02-23 11:15:16 发布
阅读量4.1k 收藏 3
点赞数 1
分类专栏: IDS入侵检测

CentOS6.5基于snort+barnyard2+base的

入侵检测系统的搭建

免责声明

转载参考:www.cnblogs.com/qiubibi/p/4115375.html作者的安装步骤实践。有部分修改。

提供的网盘::链接:http://pan.baidu.com/s/1bnz0hkz 密码:fzrv

一、准备工作

安装CentOS-6.5-i386-bin-DVD1.iso32位(用CentOS7后面配置base会报错),给系统设置IP和dns让系统可以联网。

1.   安装wget

         #yuminstall wget -y

2.   更换源

更换成阿里云源,更新系统、下载软件速度快

         #mv/etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

         #wget -O/etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

         #yumclean all

         #yummakecache

3.更新系统

         #yum-y update

4.安装epel源

         #yuminstall -y epel-release

5.下载安装文件

把网盘里的安装文件下载到CentOS里备用(可以利用附件中的FTPServer.exe传输),这里放到/root

        

二、安装配置LMAP

1.安装LMAP组件

         #yuminstall -y httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-develphp-gd

        

2.安装php插件

         #yuminstall -y mcrypt libmcrypt libmcrypt-devel

        

3.安装pear插件

         #yuminstall -y php-pear

         #pearupgrade pear

         #pearchannel-update pear.php.net

         #pearinstall mail    

         #pearinstall Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

         #pearinstall  mail_mime

        

4.安装adodb

         #tarzxvf adodb519.tar.gz -C /var/www/html

         #mv/var/www/html/adodb5 /var/www/html/adodb

        

5.安装base

         #tarzxvf base-1.4.5.tar.gz -C /var/www/html

         #mv/var/www/html/base-1.4.5 /var/www/html/base

        

6.修改php.ini

         #vi/etc/php.ini

         error_reporting= E_ALL & ~E_NOTICE

7.设置html目录权限

         #chown-R apache:apache /var/www/html

        

8.设置adodb权限

         #chmod755 /var/www/html/adodb

 

9.配置mysql

         解压barnyard2(这里要用里面的文件创mysql表)

         #tarzxvf barnyard2-1.9.tar.gz

 

启动mysql

         #servicemysqld start

         设置root密码为123456

         #mysqladmin-u root -p password 123456

         以root登陆mysql

         #mysql-uroot -p

         创建名为snort的数据库

         >createdatabase snort;

         创建名为snort、密码为123456的数据库用户并赋予名为snort数据库权限

         >grantcreate,select,update,insert,delete on snort.* to snort@localhost identified by'123456';

         退出

         >exit

         创建数据库表

         #mysql-usnort -p -Dsnort < /root/barnyard2-1.9/schemas/create_mysql

 

10.配置base

         #servicemysqld start                启动mysql

         #servicehttpd start                            启动apache

         #serviceiptables stop               关闭防火墙

         用浏览器打开http://172.16.100.234/base/setup/index.php(IP换成你自己的)

1.点击Continuue

2.选择显示语言,设置adodb路径

3.配置数据库

4.设置admin用户和密码(这里应该是设置admin的用户和密码,我这里跟mysql的root一样)

5.点击“CreateeBASE AG”

6.成功的话会有红色successfillycreated字样,如下图(Centos7没有,原因未知),点击“step 5”

7.安装成功

 

三、安装配置snort+barnyard2

1.安装依赖包

         #yuminstall –y gcc flex bison zlib libpcap tcpdump gcc-c++ pcre* zlib* libdnetlibdnet-devel

        

2.安装libdnet

(这里必须是这个版本)

         #tarzxvf libdnet-1.12.tgz

         #cdlibdnet-1.12

         #./configure&& make && make install

        

3.安装libpcap

         #wgethttp://www.tcpdump.org/release/libpcap-1.0.0.tar.gz

         #tarzxvf libpcap-1.0.0.tar.gz

         #cdlibpcap-1.0.0

         #./configure&& make && make install

        

4.安装DAQ

         #tarzxvf daq-2.0.4.tar.gz

         #cddaq-2.0.4

         #./configure&& make && make install

        

5.安装snort

         #tarzxvf snort-2.9.7.0.tar.gz

         #cdsnort-2.9.7.0

         #./configure

make && make install

        

6.配置snort

创建需要的文件和目录

         #mkdir/etc/snort

         #mkdir/var/log/snort

         #mkdir/usr/local/lib/snort_dynamicrules

         #mkdir/etc/snort/rules

         #touch/etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules

         #cp /root/snort-2.9.7.0/etc/gen-msg.mapthreshold.conf classification.config reference.config unicode.map snort.conf/etc/snort/

        

编辑配置文件

         #vi/etc/snort/snort.conf

         修改路径变量

         varRULE_PATH /etc/snort/rules

         varSO_RULE_PATH /etc/snort/so_rules

         varPREPROC_RULE_PATH /etc/snort/preproc_rules

         varWHITE_LIST_PATH /etc/snort/rules

         varBLACK_LIST_PATH /etc/snort/rules

         设置log目录

         configlogdir:/var/log/snort

         配置输出插件

         outputunified2:filename snort.log,limit 128

        

7.配置默认规则

         #tarzxvf snortrules-snapshot-2970.tar.gz -C /etc/snort/

         #cp/etc/snort/etc/sid-msg.map /etc/snort/

        

8.测试snort

         #snort-T -i eth0 -c /etc/snort/snort.conf

 

参数解释:

-T      指定启动模式:测试

-i       指定网络接口

-c      指定配置文件

 

         如果出现“success”的字样说明配置好了

         按ctrl+c终止测试

 

9.安装barnyard2

         #cd/root/barnyard2-1.9

         //注意操作系统的位数(32位 or 64位,选择的库就不同)

         #./configure--with-mysql --with-mysql-libraries=/usr/lib/mysql/

         #make&& make install

        

10.配置barnyard2

         创建需要的文件和目录

         #mkdir/var/log/barnyard2

         #touch/var/log/snort/barnyard2.waldo

         #cp/root/barnyard2-1.9/etc/barnyard2.conf /etc/snort

         修改配置文件

         #vi/etc/snort/barnyard2.conf       

         configlogdir:/var/log/barnyard2

         confighostname:localhost

         configinterface:eth0

         configwaldo_file:/var/log/snort/barnyard.waldo

         output database: log, mysql, user=snortpassword=123456 dbname=snort host=localhost

        

11.测试barnyard2

         #barnyard2 -c /etc/snort/barnyard2.conf-d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo

 

参数解释:

-c      指定配置文件

-d      指定log目录

-f       指定log文件

-w     指定waldo文件

 

如果出现“Waiting for new spool file”字样则表示barnyard2配置成功

按ctrl+c终止测试

四、测试IDS是否正常工作

1.添加测试规则

         #vi/etc/snort/rules/local.rules

         添加一条检查ping包的规则

         alerticmp any any -> any any (msg: "IcmP Packet detected";sid:1000001;)

 

规则注解:

         alert                             触发规则后做出的动作

         icmp                             协议类型

         第一个any                源IP(网段),any表示任意

         第二个any                源端口,any表示任意

è              表示方向

第三个any                目标IP(网段),any表示任意

第四个any                目标端口,any表示任意

Msg字符                            告警名称

Sid                                id号,个人编写的规则使用1,000,000以上

 

2.配置IDS启动脚本

         配置启动脚本

         #cpidsctl /sbin

         #chmod755 /sbin/idsctl

3.启动IDS

         #servicemysqld start                启动mysql

         #servicehttpd start                            启动apache

         #serviceiptables stop               关闭防火墙

 

使用脚本启动ids

         #idsctlstart

 

手动运行ids(2条命令先后运行,脚本启动失效可选)

         #barnyard2 -c /etc/snort/barnyard2.conf-d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -D

         #snort-c /etc/snort/snort.conf -i eth0 –D

         (-D选项用来让命令转入后台运行,其他选项意义上文已有解释)

4.测试IDS

向IDS的IP发送ping包,base的页面会出现ICMP告警

 

5.停止IDS

使用脚本停止IDS

#idsctl stop

手动停止IDS

killall -9 snort barnyard2


庞叶蒙
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 上搭建 Snort+BASE 入侵检测系统
TimDyh的博客
05-04 2888
配置实验环境 由于本人电脑的存储空间不足,无法再承担安装一个虚拟机的开销,因此在阿里云上申请了一个云服务器进行本次实验。 服务器配置如下: 1 核 - 2GB 内存 - 40GB 系统盘 操作系统:Ubuntu 18.04 修改 Ubuntu 源 查看 /etc/apt/sources.list 发现已经配置好了阿里源,故不再做修改。如有需要,可自行改为阿里源或清华源,提高安装包下载速度。 ...
[IDS]CentOS6.6下搭建基于snort+barnyard2+base入侵检测系统,超详细!!!
qq_35389642的博客
06-19 1668
最详细的CentOS6.6下搭建基于snort+barnyard2+base入侵检测系统 免责声明 一.如果因为使用本文档照成损失(系统崩溃、数据丢失等),作者不承担任何责任。 二.本文档只是个人使用本文档标注的软件版本成功搭建基于snort的IDS的过程,不代表在其他(相同或不相同)环境下也能安装成功,请仔细阅读并理解文档。 三.善用搜索!善用搜索!善用搜索!遇到错误请理解错误提示,优先用搜索...
编写snort规则检测网络攻击
guansheng123的博客
02-23 5557
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的 动作,协议,源和目标 ip 地址与网络掩码,以源和目标端口信息; 规则选项 部分包含报警消息内容和要检查的包的具体部分。 Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert 动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式, 例如可以发送到文件或者控制台。 Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。...
搭建snort+BASE入侵检测系统
guansheng123的博客
02-23 6101
搭建snort+BASE入侵检测系统
snort+base搭建IDS***检测系统
weixin_34268579的博客
07-16 622
Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件 Snort有 三种工作模式:嗅探器、数据包记录器、网络***检测系统模式。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数 据包记录到硬盘上。网路***检测模式分析网络数据流以匹配用户定义的一些规则,并...
Ubuntu18.04搭建snort+BASE入侵检测系统
weixin_32805909的博客
05-27 5347
一、介绍 Snort是一套开源的网络入侵检测系统(NIDS),主要功能有包嗅探、包记录和入侵检测功能。   Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。   Snort有数据包嗅探,数据包分析,数据包检
[入侵检测系统][IDS]CentOS6.6下基于snort+barnyard2+base入侵检测系统搭建.docx
05-19
[入侵检测系统][IDS]CentOS6.6下基于snort+barnyard2+base入侵检测系统搭建.docx
入侵检测系统][IDS]CentOS6.6下搭建基于snort+barnyard2+base入侵检测系统
10-09
入侵检测系统入侵检测系统入侵检测系统入侵检测系统入侵检测系统
centos平台基于snortbarnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总-附件资源
03-02
centos平台基于snortbarnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总-附件资源
centos6.7的环境下安装snortbarnyard2base
wen_18的博客
08-07 1082
centos6.7的环境下,安装snort+barnyard2+base
搭建IDS的前端工具barnyard2
10-02
搭建IDS的前端工具barnyard2,使用acid+snort+mysql+php+apache时会用到它,解决mysql数据表搭建问题
adodb-5.20.17.zip
05-21
ADODB是PHP存取数据库的中间件,是ACID入侵分析控制台的一个组件,用来搭建snort网络入侵检测系统
adodb519.tar.gz
03-21
adodb519.tar.gz安装包适用于snort安装部署,希望能帮助到各位,谢谢。
搭建snort+base入侵检测系统需要的所有安装包
12-12
windows系统搭建snort+base入侵检测系统需要的必要工具的安装包,其中包含ADOdb-5.20.12.zip、appserv-win32-8.6.0.exe、base-1.4.5.tar.gz、Snort_2_8_6_Installer.exe、WinPcap_4_1_3.exe、snortrules-snapshot-2900.tar.gz六个文件。 安装过程可参考https://www.jianshu.com/p/d8ca2e8c0858 压缩包解压密码:snort
CentOS-snort+guardian详细安装方法
06-12
详细实验指导,CentOS上手动安装snort+guardian,配置完成后用xscan模拟入侵,观察snort日志和guardian联动iptables行为
barnyard2 mysql_安装配置Snortbarnyard2
weixin_39553458的博客
01-26 988
1、安装依赖包yum install –y gcc flex bison zlib* libpcap* tcpdump gcc-c++ zlib* libdnet libdnet-devel pcre*2、安装libdnetwget https://phoenixnap.dl.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet...
centos平台基于snortbarnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
热门推荐
WillWinwin
12-19 1万+
一、基本环境 虚拟机工具:Vmware Workstation Pro 12 Centos版本:CentOS-7-x86_64-Minimal-1511 Snort版本:snort-2.9.9.0 Barnyard2版本:barnyard2-1.9 Base版本:base-1.4.5二、IDS系统搭建 1、安装wget工具[root@localhost alankong]# yum in
Snort:Barnyard2+MySQL+BASE 基于Ubuntu 14.04SNORT
认真就赢了
06-08 8090
首先明确操作系统平台是Ubuntu 14.04 LTS 现在我们要在Ubuntu 14.04上部署snort NIDS(入侵检测系统)。 需要这些东西: SNORT / Barnyard2 / Mysql / Apache2 / BASE 在进行所有工作之前,请执行以下命令,确保安装必要的软件(工具链) sudo apt-get install -y build-essentia
手动打造Snort+barnyard2+BASE可视化报警平台
binyanang3804的博客
08-29 1491
背景 大家在安装基于Snort NIDS系统, 感觉很难,总是出错,其他安装Snort并不难,难的是准备工作做得不充分,如果你做的不好,在配置可视化报警时会遇到各种问题,例如: 为什么Snort编译总报错? 为什么启动Snort后会立刻退出? Snort不报警怎么办? MySQL数据库里无法存储Snort报警怎么办? 浏览器打开ACID,里面一片空白怎么办?看着别人安装成功了,我却怎么也装不上?...
ESXi 6.5下CentoS 6.5 Ambari+HDP+ELK+Neo4j集群部署教程
本篇教程详细介绍了如何在ESXi 6.5环境中搭建一个基于CentOS 6.5的分布式IT集群,包括Ambari、HDP(Hadoop Distribution)、ELK(Elasticsearch、Logstash、Kibana)以及Neo4j的部署。以下是主要步骤的详细说明: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值