Snort:Barnyard2+MySQL+BASE 基于Ubuntu 14.04SNORT

最新推荐文章于 2024-05-16 10:47:05 发布
最新推荐文章于 2024-05-16 10:47:05 发布
阅读量8k 收藏 5
点赞数
分类专栏: 安全 文章标签: mysql snort

首先明确操作系统平台是Ubuntu 14.04 LTS

现在我们要在Ubuntu 14.04上部署snort NIDS(入侵检测系统)。

需要这些东西:

SNORT / Barnyard2 / Mysql / Apache2 / BASE

在进行所有工作之前,请执行以下命令,确保安装必要的软件(工具链)

sudo apt-get install -y build-essential libpcap0.8-devlibpcre3-dev libdumbnet-dev bison flex zlib1g-dev



 

 

SNORT
 

 
 在Ubuntu 14.04安装snort可以有两种方式 

 

 
 一种: 
 
sudo apt-get install snort
另外一种是从源代码安装。 

 

 
 既然有简单地方法,那就选择从软件源安装,即选择第一种。 

 

 
 如果这种方式出错的话,你可能需要依次执行: 
 
 sudo apt-get update
 
 
 sudo apt-get upgrade
 
 
测试看看,执行:
 
 
 
 
snort -V
如果显示出以下: 
 
 
 
 
 
   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.0 GRE (Build 149)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.5.3
           Using PCRE version: 8.31 2012-07-06
           Using ZLIB version: 1.2.8
 
 
 说明安装成功了!祝贺! 
 
 
 
 
 
 
 
接着我们要修改snort的配置文件(注意我们使用的软件源方式,故配置文件路径较为固定)
 
 
 
 
sudo vim /etc/snort/snort.conf
 
 
 
 
将115行(大概位置)修改如下(如果一样的话则不修改)
 
 
 
 
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
目的在于指定规则文件存放的路径。 
 
 在第51行 : 
 
 
 
ipvar HOME_NET 192.168.1.0/24
 第536行,修改成如下所示 :
 output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types
 (如果文件本身就和我这里修改后的一样则没必要修改)
 
 
 
 
 
现在启动测试SNORT :
 
 
 
 
 
sudo service snort restart
删除之前日志中得内容(我们改变了日志格式,使用了时间戳格式) 
 
 
 
 
 
sudo rm /var/log/snort/snort.log
 
 
 (题外话:第51行没必要修改,因为被/etc/snort/ 
 snort.debian.conf覆盖了
 
 
 现在我们要测试下snort的规则。
 
 
/etc/snort/rules是我们的用于存放规则文件的路径。以后snort就是根据诸多的规则文件给我们提供预警和提示。
 
 
 
打开规则文件:
 
 
 
 
sudo vim /etc/snort/rules/local.rules
local.rules是用于自定义规则的规则文件。然后添加自己的规则到 
 local.rules
 
 
 
 
alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002;  rev:1;)
这两条规则大概就是说任何发往本机的ICMP和HTTP数据包都会触发警告! 
 
 保存退出。 
 
 
 
为了便于测试,继续修改snort.



                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  caisam
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  3
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
snort_barnyard

				
			

			

				

					11-26
				

			

		

		

			
				
snort_barnyard

			
		

	



                

              
                



	

		

			

				
					
docker-snort:Snort + Barnyard2 + 导出到 MariaDB

				
			

			

				

					06-01
				

			

		

		

			
				
泊坞窗喷鼻息 Snort + Barnyard2 + 导出到 MariaDB

			
		

	



                


  
              

                


	

		

			

				
					
Ubuntu 15.04 中如何安装和使用 Snort

				
			

			

				

					weixin_34348174的博客
				

				

					05-02
					
					497
					
				

			

		

		

			
				
对于网络安全而言入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络中非法与恶意的请求。Snort是一款知名的开源的入侵检测系统。其 Web界面(Snorby)可以用于更好地分析警告。Snort使用iptables/pf防火墙来作为入侵检测系统。本篇中,我们会安装并配置一个开源的入侵检测系统snortSnort 安装

要求
snort...

			
		

	





	

		

			

				
					
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报

				
			

			

				

					weixin_45266856的博客
				

				

					05-16
					
					1701
					
				

			

		

		

			
				
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。

			
		

	



		

			
		



	

		

			

				
					
UbuntuSnort的安装

				
			

			

				

					weixin_34344403的博客
				

				

					05-12
					
					1275
					
				

			

		

		

			
				
实验环境1.主机:奔腾T4400 双核 2.2GHz2.VM版本:Vmware Workstation 9.23.Linux发行版:Ubuntu 12.04.Linux内核版本:3.165.Snort版本:2.9步骤:1.安装完成ubuntu之后进行升级:apt-get update;2.安装所需要的软件;Sudo apt-get install libpcap0.8-dev...

			
		

	





	

		

			

				
					
SnortUbuntu上的安装总结

				
			

			

				

					jasekidd的专栏
				

				

					11-01
					
					2097
					
				

			

		

		

			
				
 在Ubuntu上安装Snort及配置已经不止一次了,也参考了不少文章,故写下此经验总结:主要参考http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10因为以上网址说的非常详细,所以只说说我在安装配置过程中遇到的问题。Ps:在我们开发Snort时,需要在配置阶段添加参数:

			
		

	





	

		

			

				
					
Ubuntu 上安装和配置Snort 3 NIDS

				
			

			

				

					m0_59598029的博客
				

				

					02-28
					
					1455
					
				

			

		

		

			
				
在本教程中,你将学习如何在上安装和配置Snort3NIDS。Snort是一个轻量级的网络入侵检测系统。它具有基于规则的日志记录功能,除了检测各种攻击和扫描(如缓冲区溢出、端口扫描、CGI攻击、SMB探测等)之外,还可以执行内容搜索/匹配。Snort具有实时警报功能,可以将警报发送到syslog或者记录为一个单独的“警报”文件,甚至通过Samba发送到Windows计算机。Snort 3支持多线程共享配置和属性表使用简单的、脚本化配置关键组件可热插拔无端口配置的自动检测服务。

			
		

	





	

		

			

				
					
Snorter:Snort + Barnyard2 + Pulledpork→简单的方法!

				
			

			

				

					05-07
				

			

		

		

			
				
 已在以下位置成功测试: Raspberry Pi + Raspbian Jessie Kali Linux滚动发布Debian 9.0以上Ubuntu 18.04 使用脚本的Ubuntu 14.04。安装详细的安装。下载只需在您的终端上运行: git clone ...

			
		

	





	

		

			

				
					
入侵检测系统][IDS]CentOS6.6下搭建基于snort+barnyard2+base的入侵检测系统

				
			

			

				

					10-09
				

			

		

		

			
				
入侵检测系统入侵检测系统入侵检测系统入侵检测系统入侵检测系统

			
		

	





	

		

			

				
					
snort+base.txtsnort+base.txtsnort+base.txtsnort+base.txt

					
最新发布

				
			

			

				

					07-14
				

			

		

		

			
				
snort basesnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+base.txtsnort+...

			
		

	





	

		

			

				
					
[入侵检测系统][IDS]CentOS6.6下基于snort+barnyard2+base的入侵检测系统的搭建.docx

				
			

			

				

					05-19
				

			

		

		

			
				
[入侵检测系统][IDS]CentOS6.6下基于snort+barnyard2+base的入侵检测系统的搭建.docx

			
		

	





	

		

			

				
					
centos平台基于snortbarnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总-附件资源

				
			

			

				

					03-05
				

			

		

		

			
				
centos平台基于snortbarnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总-附件资源

			
		

	





	

		

			

				
					
搭建IDS的前端工具barnyard2

				
			

			

				

					10-02
				

			

		

		

			
				
搭建IDS的前端工具barnyard2,使用acid+snort+mysql+php+apache时会用到它,解决mysql数据表搭建问题

			
		

	





	

		

			

				
					
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇

				
			

			

				

					01-09
				

			

		

		

			
				
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~
往期回顾
Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇
Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇
在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中

			
		

	





	

		

			

				
					
安装配置Snortbarnyard2

				
			

			

				

					浅笑996的博客
				

				

					10-19
					
					4568
					
				

			

		

		

			
				
安装配置Snortbarnyard2
1、安装依赖包
yum install –y gcc flex bison zlib* libpcap* tcpdump gcc-c++  zlib* libdnet libdnet-devel pcre*

2、安装libdnet
wget https://phoenixnap.dl.sourceforge.net/project/libdnet/libd...

			
		

	





	

		

			

				
					
在Centos 7上安装 snort日志处理barnyard2和WEBGUI BASE

				
			

			

				

					allway2的博客
				

				

					08-06
					
					996
					
				

			

		

		

			
				
在Centos 7上安装barnyard2

安装

关闭SELinux,不关闭sytemd服务不能启动

vi /etc/selinux/config

将SELINUX=enforcing改为SELINUX=disabled

设置后需要重启才能生效


网上可以搜索到为CentOS 7提供的rpm软件包,只需使用以下命令即可安装:

yum install http://rnd.rajven.net/centos/7/os/x86_64/barnyard2-1.9-26.2.x86_64.rpm
..

			
		

	





	

		

			

				
					
CentOS6u9 基于Snort+Barnyard2+Base的入侵检测系统搭建

				
			

			

				

					VincentQB的博客
				

				

					06-15
					
					1410
					
				

			

		

		

			
				
简单说明:

本实验基于博文 https://www.cnblogs.com/zlslch/p/7306632.html 搭建测试
该IDS是基于LAMP架构的入侵检测系统,核心组件为SnortBarnyard2以及Base
使用Snort做入侵检测并输出到alert文件
使用Barnyard2读取alert文件格式化输出到库
使用Base从库中读取数据进行展示
依据《CentOS6实验机模板搭...

			
		

	





	

		

			

				
					
snort简介以及在Ubuntu下的安装

				
			

			

				

					weixin_30663391的博客
				

				

					04-29
					
					115
					
				

			

		

		

			
				
一、简介
Snort是一套开放源代码的网络入侵预防软件与网络入侵检测软件。Snort使用了以侦测签章(signature-based)与通信协议的侦测方法。Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端...

			
		

	





	

		

			

				
					
CentOS6.5基于snort+barnyard2+base的 入侵检测系统的搭建

				
			

			

				

					3-Number
				

				

					03-07
					
					4171
					
				

			

		

		

			
				
CentOS6.5基于snort+barnyard2+base的
入侵检测系统的搭建
免责声明
转载参考:www.cnblogs.com/qiubibi/p/4115375.html作者的安装步骤实践。有部分修改。
提供的网盘::链接:http://pan.baidu.com/s/1bnz0hkz 密码:fzrv
一、准备工作
安装CentOS-6.5-i386-bin-DVD1.is

			
		

	





	

		

			

				
					
sudo: snort: command not found


				
			

			

				

					09-19
				

			

		

		

			
				
您遇到的问题是 "sudo: snort: command not found"。这个错误表示您尝试在系统中执行 snort 命令,但系统无法找到该命令。

Snort 是一个开源的网络入侵检测系统 (IDS),它可以用于监测和预防网络攻击。要解决这个问题,您需要确保已经正确安装了 Snort 并配置了系统的环境变量。

请按照以下步骤检查并解决问题:

1. 确认 Snort 是否已正确安装:在终端中运行以下命令以检查 Snort 是否已安装在系统中:
   ```
   snort -V
   ```
   如果提示 "command not found",则表示 Snort 尚未安装。

2. 安装 Snort:您可以使用包管理器(如apt、yum等)来安装 Snort。例如,在 Ubuntu 上,您可以运行以下命令来安装 Snort:
   ```
   sudo apt-get install snort
   ```

3. 检查环境变量:如果 Snort 已经安装,但仍然出现该错误,请确保将 Snort 的安装路径添加到系统的 PATH 环境变量中。您可以编辑 shell 的配置文件(如 ~/.bashrc 或 ~/.bash_profile),添加以下行:
   ```
   export PATH="/path/to/snort:$PATH"
   ```
   然后重新启动终端或运行 `source ~/.bashrc`(或相应的配置文件)以使更改生效。

经过以上步骤,您应该能够成功运行 snort 命令。



			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 3

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值