snort create_mysql_构建简易Snort网络入侵检测系统(NIDS)

最新推荐文章于 2021-02-22 01:54:50 发布
最新推荐文章于 2021-02-22 01:54:50 发布
阅读量242 收藏
点赞数
文章标签: snort create_mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32485965/article/details/113682621
版权
本文介绍了如何在RHEL5环境下搭建基于Snort的NIDS系统,使用MySQL存储日志,包括安装相关软件、配置Snort规则、启动Snort服务以及设置web前端展示告警信息。
摘要由CSDN通过智能技术生成

构建简易Snort网络入侵检测系统(NIDS)

TsengYia#126.com 2008.11.16

建立基于入侵特征规则库的SNORT NIDS系统。

###########################################################################################

系统环境:

Red Hat Enterprise Linux (2.6.18-8.el5)

软件环境:

◇ RHEL5系统自带的rpm包(多数默认已有,带“[*]”标记的可能需要额外安装):

httpd-2.2.3-6.el5

mysql-5.0.22-2.1

mysql-server-5.0.22-2.1

mysql-connector-odbc-3.51.12-2.2

mysql-devel-5.0.22-2.1    [*]

php-mysql-5.1.6-5.el5    [*]

php-5.1.6-5.el5

php-common-5.1.6-5.el5

php-pdo-5.1.6-5.el5    [*]

php-cli-5.1.6-5.el5

php-gd-5.1.6-5.el5    [*]

libpcap-0.9.4-8.1

libpcap-devel-0.9.4-8.1    [*]

pcre-6.6-1.1

pcre-devel-6.6-1.1    [*]

###########################################################################################

一、安装相关rpm软件及配置AMP环境

1、安装(过程略)

2、配置、启动httpd、mysqld

均按默认配置(过程略)。

shell> service httpd start

shell> service mysqld start

shell> chkconfig httpd on

shell> chkconfig mysqld on

二、配置并启动snort进程

1、编译安装snort

shell> useradd -d /etc/snort -s /sbin/nologin snort

shell> mkdir -p /var/log/snort/

shell> chown snort /var/log/snort/

shell> cd /dl_pkgs/

shell> tar zxvf snort-2.8.3.1.tar.gz

shell> cd snort-2.8.3.1

shell> ./configure --with-mysql

shell> make && make install

2、安装规则文件(已包含etc/配置、doc/手册)

shell> tar zxvf /dl_pkgs/snortrules-snapshot-2.8.tar.gz -C /etc/snort/

#//关于Snort rules的具体应用,请参考其他资料。

3、修改snort.conf配置文件

shell> cd /etc/snort/etc/

shell> cp snort.conf snort.conf.bak

shell> vi snort.conf

var HOME_NET [192.168.0.0/24,192.168.1.0/24,10.1.1.0/24]

var EXTERNAL !$HOME_NET

var RULE_PATH ../rules

output database: log, mysql, user=snort password=secret dbname=snort_log host=localhost

#//如果用内部主机做入侵测试,HOME_NET、EXTERNAL变量可以先不要修改

4、建立snort_log数据库

shell> mysql -u root -p

mysql> create database snort_log;

mysql> grant all on snort_log.* to snort@localhost identified by 'secret';

mysql> quit

shell> mysql -u snort -p snort_log < /dl_pkgs/snort-2.8.3.1/schemas/create_mysql

5、启动snort

shell> snort -dD -u snort -g snort -c /etc/snort/etc/snort.conf

其中,-D选项表示以daemon模式启动后置于后台,

若ps aux | grep snort发现未能正常启动,请去掉-D选项运行snort,根据提示信息进行排错。

[带规则启动snort时,若使用的是2.4版规则包(未注册用户版),可能会出现报错,根据提示将web-misc.rules文件中的对应行(97/98/452)注释掉即可]

附:snort工具的几个常用选项

-v  显示调试信息,将数据包输出到终端(作为IDS系统工作时不要使用该选项)

-c  指定rules规则集文件的位置

-d  输出应用层数据

-e  输出数据链路层数据

-l  将数据记录到日志文件(可以指定保存日志的目录,缺省为/var/log/snort/)

-b  使用tcpdump格式记录数据

-A  指定告警模式(fast,full,none,unsock),不同的模式决定了告警信息的详细程度

-T  运行自检(在使用-D运行daemon模式前,可以用于检查命令参数、配置文件、规则集等是否正常)

-D  以daemon模式在后台运行

-u  指定运行用户(初始化完成后切换为该用户)

-g  指定运行组

----> 为了更方便控制snort的运行,可以建立一个snort服务脚本

shell> vi /etc/init.d/snort

#!/bin/sh

# chkconfig: - 99 99

# description: Snort NIDS DAEMON

PROG=/usr/local/bin/snort

CONF=/etc/snort/etc/snort.conf

ARGS="-dD -u snort -g snort"

case "$1" in

start)

$PROG $ARGS -c $CONF

;;

stop)

killall -9 snort

;;

restart)

killall -9 snort

$PROG $ARGS -c $CONF

;;

*)

echo $"Usage: $0 "

exit 1

;;

esac

shell> chmod +x /etc/init.d/snort

shell> chkconfig --add snort

shell> chkconfig --level 2345 snort on

shell> service snort start

三、配置base+adodb的web前端

1、安装php-pear及相关插件

包括php-pear及下载的Image、Mail、Numbers等插件:

Image_Canvas-0.3.1.tar、Image_Color-1.0.2.tar、Image_Graph-0.7.2.tar

Mail-1.1.14.tar、Mail_Mime-1.5.2.tar、Mail_mimeDecode-1.5.0.tar

Numbers_Roman-1.0.2.tar、Numbers_Words-0.15.0.tar

shell> rpm -ivh /dl_pkgs/php-pear-1.7.2-2.fc10.noarch.rpm

shell> cd /dl_pkgs/pear-plugin/

shell> pear install *.tar

2、解压adodb、base源码包

shell> cd /var/www/html/

shell> tar zxvf /dl_pkgs/adodb506a

shell> tar zxvf /dl_pkgs/base-1.4.1-tar.gz

shell> mv base-php4 base

3、配置base

shell> cd /var/www/html/base/

shell> cp base_conf.php.dist base_conf.php

shell> vi base_conf.php        #//根据实际情况修改相关变量

$BASE_Language = 'simplified_chinese';        #//为了保持兼容性,建议使用默认的英文(English)

$BASE_urlpath = '/base';

$DBlib_path = '/var/www/html/adodb5';

$DBtype = 'mysql';

$alert_dbname = 'snort_log';

$alert_host = '3306';

$alert_user = 'snort';

$alert_password = 'secret';

$archive_exists = 0;

4、初始化安装

在浏览器中访问 http://Server_IP/base ,根据提示进行“安装页面(setup)”-->“Create BASE AG”。

5、添加管理员用户(可选)

1) 可以在 http://Server_IP/base 界面中,单击下方的“管理(Administration)”链接,新建立一个“admin”用户。

2) 修改/var/www/html/base/base_conf.php文件,打开Auth_System开关,即“$Use_Auth_System = 1;”。

3) 在浏览器中重新访问 http://Server_IP/base,则需要使用admin用户登录。

四、测试

1) 修改snort.conf文件,添加一条规则

shell> vi /etc/snort/etc/snort.conf

alert tcp any any -> any any (flags:S; msg:"SYN Packets Alert!"; sid:20081122;)

//该规则的告警条件过于严格,仅用于测试,完毕后请即删除)

2) 重新启动snort,并跟踪告警日志

shell> service snort restart

shell> tail -f /var/log/snort/alert

3) 在其他主机中,使用nmap等工具对snort服务器进行sync扫描,如“nmap -sS Server_IP”,观察上一步中alert日志的变化。

4) 刷新 http://Server_IP/base 页面,查看报警信息,点击右侧的“Graph Alert Data”,可以设置查看告警图片(使用中文界面时,图片可能无法显示)。

###########################################################################################

hfcorriez
关注
barnyard2 mysql_snort+barnyard2+base的入侵检测系统笔记
weixin_32602879的博客
01-26 465
Last login: Wed Feb 28 21:00:34 2018 from 192.168.78.1[root@localhost ~]# yum install -y epel-releaseLoaded plugins: fastestmirrorepel/x86_64/metalink ...
【部署】NIDSSNORT部署
weixin_39798910的博客
09-15 1139
Snort安装 参考资料:https://blog.csdn.net/weixin_46763552/article/details/116350545 准备工作  一些软件包可能会因为源的原因无法下载,而根据错误提示也很难定位具体原因,为了避免这种情况的发生,可以在安装snort前先执行 sudo apt-get update 对源进行更新。  如果有日常下载其他软件比较卡的现象,建议将系统的源换为国内的,方法为 pip install -i +源 +安装包 如下几个源作为参考 清华:https://
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中
redis性能测试tcp socket and unix domain
weixin_30892763的博客
12-31 582
UNIX Domain Socket IPC socket API原本是为网络通讯设计的,但后来在socket的框架上发展出一种IPC机制,就是UNIX Domain Socket。虽然网络socket也可用于同一台主机的进程间通讯(通过loopback地址127.0.0.1),但是UNIX Domain Socket用于IPC更有效率:不需要经过网络协议栈,不需要打包拆包、计算校验和、维护序号...
ubuntu snort-mysql_Ubuntu 16.04 搭建Snort
weixin_39755824的博客
02-11 310
一、介绍Snort是一套开源的网络入侵检测系统(NIDS),主要功能有包嗅探、包记录和入侵检测功能。Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略...
Snort入侵检测系统构建
06-23
Snort是开源的网络入侵检测系统NIDS),具有高性能、高效率的特点,其核心功能是通过网络嗅探器和一系列的预处理器来分析网络流量,并根据预定义的规则匹配攻击和异常行为。Snort可以运行在多种平台上,包括...
snort 检测nmap_Snort入侵检测系统安装与配置
weixin_39663258的博客
12-22 880
第1章Snort简介第2章软件列表第3章Snort 安装与配置第4章Snort的操作与使用第5章常见问题与解决方法第1章Snort简介Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端口扫描,CGI攻击,SM...
linux snort centos搭建入侵检测系统snort及问题总结与解答
Sustai的博客
07-18 7131
有志者事竟成,做实验的时候多加耐心,学会灵活变通,欢迎交流。
snort入侵检测系统
06-04
Snort是一款开源的网络入侵检测系统(NIDS),它能够实时分析网络流量,并根据预定义的规则来检测潜在的安全威胁。Snort支持多种工作模式:包括包记录器、网络入侵检测系统网络入侵预防系统。它不仅功能强大,而且...
网络入侵检测系统Snort)实验 实验平台的搭建和测试
duoaduo618的专栏
02-23 6982
(晕,怎么不能粘贴图片啊,先发文档,图片慢慢加吧····)当初做实验的时候,参看了网上很多文章,但是因为每个机子的环境不一样所以要根据自己的机子进行调试才能出来想要的结果。恩。就是这样·(这个是自己论文里的一部分,所以会出现类似4.1这样的编号) 4.1实验平台的搭建 1)实验软件: (1)Microsoft virtual pc虚拟机 (2)windows server 2003镜像文件
Snort2.9源码在win7下编译调试配置
05-28
本文档包含Snort2.9源码在win7环境下编译调试全过程,主要是对网上一些资料的总结
snort2.9.12规则库
02-10
snort规则库,针对snort2.9.12版本,未包含black_list.rules和white_list.rules,需要者自行创建空文档即可
Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇
CollinXia的博客
04-07 2851
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第一篇,介绍了snort3的安装过程,基本上是保姆级的教程。后续内容敬请期待,等我理清了思路就来~
Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇
CollinXia的博客
04-09 1795
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第二篇,介绍了snort3安装后的相关配置过程,至此一个简单可用的入侵检测系统就基本建立起来了。后续内容敬请期待,等我理清了思路就来~
snort -------DEBUG_WRAP
jackywgw的专栏
07-01 941
在看snort源码的时候,经常看到调用DEBUG_WRAP函数输出的debug信息。研究了一下怎么打开这个debug开关,以下是具体的步骤 1. 在configure 选项中添加--enable-debug-msgs 和--enable-debug ,这个打开了宏DEBUG_MSGS 2.定义环境变量SNORT_DEBUG和SNORT_PP_DEBUG, debug_level = $SNOR
snort没有create_mysql_Windows_平台下基于_snort入侵检测系统安装
weixin_42529148的博客
02-22 249
Windows 平台下基于snort入侵检测系统安装首先我们需要安装snort所需的的软件包(貌似王老师都给我们了^_^):1、Snort_2_6_1_3_Installer(在windows平台下的snort貌似最新版本^_^)2、WinPcap_4_0(windows版本的PCAP,用于snort的抓包程序,一定要安装,不然不会支持snort的抓包)3、mysql-5.0.27-Setup....
snort规则学习
qq_39125106的博客
04-16 351
snort规则学习:https://www.cnblogs.com/zlslch/p/7337011.html 一、snort的规则啊,是基于文本的
snort三种工作模式详解
热门推荐
xumesang的专栏
05-26 1万+
snort有三种工作方式:嗅探器,数据包记录器和网络入侵检测系统.   嗅探器 输入命令: “#snort -v”,即可把TCP/IP包头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图: 如果想(1)看到应用层和数据链路层的数据; (2)把所有的包记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort
Snort总结-简介
非同╰_╯寻常
10-10 1万+
相关定义:   入侵检测  是指用来检测针对网络及主机的可疑活动的一系列技术和方法。入侵检测系统基本可以分为两大类:基于特征的入侵检测系统和异常行为检测系统。  入侵检测系统或IDS是一种用来检测入侵行为的软件、硬件或者两者的结合。Snort是大众可以获得的开放源码的IDS。IDS的实际能力依赖于组件的复杂度及精巧性。实体的IDS是硬件和软件的结合,很多公司可以提供及决方案。 网络IDS或
深入解析Snort入侵检测系统源码
"这篇文章主要对Snort入侵检测系统的源代码进行了深入分析,作者是Kendo,发布于2005年2月28日。文章详细解析了Snort的各个核心模块,包括服务主程序、数据包处理、网络套接字、libpcap库的使用、规则解析以及预处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值