snort 检测nmap_Kali系统 Snort配置和入侵方法介绍

最新推荐文章于 2025-03-30 23:12:34 发布
最新推荐文章于 2025-03-30 23:12:34 发布
阅读量1.6k 收藏 13
点赞数 1
文章标签: snort 检测nmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39625172/article/details/112415163
版权
本文介绍了如何在Kali Linux系统中安装和配置Snort,进行ping攻击和nmap扫描的检测。首先,详细阐述了Snort的安装步骤和依赖包的安装,接着讲解了如何配置Snort规则以检测ping攻击,以及针对nmap扫描的检测方法。在实践中遇到了一些问题,如依赖错误和缺少规则文件,文中给出了相应的解决办法。最后,讨论了Snort与iptables联动增强防护能力的两种方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

165fd2f9741edb5446c9882ef98bac2e.gif

Snort简介

snort作为一个开源代码的入侵检测工具,在入侵检测系统开发的过程中有着重要的借鉴意义,其主要有

初始化工作,解析命令行,读入规则库,生成用于检测的三维规则链表,然后循环检测。

流程图:

af5a0d758c33dc68b6002abb7b628787.png

1.在kali Linux下对snort进行安装

(1)https://www.snort.org/downloads官网中下载

snort-2.9.15.1.tar.gz

daq-2.0.6.tar.gz

进行安装包解压:

tar -zxvf snort-2.9.15.1.tar.gz

tar -zxvf daq-2.0.6.tar.gz

(2)安装daq所依赖的开发包,直接编译会出现错误

Apt-get install flex

Apt-get install bison

Apt-get install libpcap-dev

(3)查看目录下文件,并对dag包进行编译

e51efcc74430c7895b68638b40df99cc.png

(4)安装snort所依赖的软件包

Apt-get isnatll libpcre3-dev

Apt-get install libdumbnet-dev

Apt-get install zlibig-dev

同样对snort包进行编译:./configure –disable-open-appid && make && make install

(5)查看snort是否安装成功

0d9517defefa2d3b77ad882553db0735.png

2.配置snort规则,进行ping攻击检测

从官网下载规则包:(需注册登录)

597dd03a4650e41efe5cab4d4bef45a8.png

下载并解压最新的规则包

将snort安装目录的包用规则包进行替换

f5547cc553e99a35f1ad0dc2ad8484b2.png

练习一条规则

在rules/local.rules下进行规则配置

ebff4b7f9dc77cb9d8af179582a70396.png

实现对内网的UDP协议相关流量进行检测,并报警

重启snort使规则生效。

利用Snort检测ping攻击

在rules/icmp-info.rules文件中设置如下规则:

2e2f4a57b2fd238f35d9e0853b6dedc3.png

创建snort检测日志

660a4339f3590a5125c0e3db33accb04.png

将snort规则中的路径(RULE_PATH)改为snort下的rules规则路径

b912bb7adfd3630643c18d2b065393bf.png

使用snort规则对流量进行检测,并将结果输出到snort日志中

9e8139e4d5e487281789ca202c2fe832.png

成功开启snort进行检测

03b754f7ea571990d02c156d3e69e9e5.png

使用局域网内主机对安装snort主机进行包>800的ping攻击

1c67e6d9863ac583f9634846a5f4b53e.png

在日志中查看检测结果:

d96a5b3d446fe1a2f0fbc34eff2d0b5a.png

成功检测包大于800的ping攻击!

利用Snort检测nmap扫描

1.对snort规则进行修改,将检测的家庭网络改为所在局域网

8cefdf686bb69607f729e57e8e822280.png

2.在rules/local.rules下进行tcp规则配置

fe97bbc3556d7562bd7fd25abc70d86c.png

3.启动snort进行局域网内的扫描检测

45a99c9e16a8ab659d616402aa9f0764.png

4.使用宿主机进行局域网内的namp扫描

d7c9858fc8f6de6f7a30749489c9a5bd.png

5.在var/log/snort中查看检测结果

14038b7b2b98954af879e3a5a566e3f1.png

遇到的问题及解决方法:

1.在启动snort规则中,出现如下错误:

057d0a84ace38519358dc294b154717c.png

这个错误与安装的依赖有关,这里我们可对326,327行进行注释,并删除324后的

ec9094ca7c9b07c5dcb6081182e167ac.png

2.在snort文件中没有while_list.rules和black_list.rules:

fd0dbf583347be91fbac99ad8ce4cb21.png

这里我们可以进行删除或者注释掉

551dd575aea1d70be2e9296485d57033.png

3.在tcp规则的设定中,没有sid号导致错误(注释:<100保留,100~999999为snrot发布用,>=1000,000本地用)

309f9e6499528411a7fb1af6639413ea.png

结语

snort还可以对网站的访问进行检测。

由于snort只能检测到入侵行为并发出报警信息,但是不能直接地阻断入侵行为,可以将snort与iptables

联动来解决这个问题。

①利用Snort的扩展功能,自定义开发集成插件(snortsam): Snort 有个插件机制提供了预处理插件和处理插件等方式。而这种插件在Snort里是支持自定义开发并加载的。因此第一种实现方式就是自定义开发插件,当检测到规则匹配时则调用远程或对应主机的防火墙,将有入侵行为的ip 和端口,建立对应的一条
Iptables规则丢弃这个连接、端口的数据包或将此ip的所有包都丢弃。

②利用Snort的告警日志,自定义开发脚本。相对于Snort的插件方式,第二种的实现方式非常简单且易于实现,就是利用一个简单的脚本实时读取告警日志,将记录到的Ip和端口,创建对应的一条lptables规则,加入到远程或对应主机的防火墙规则中,也就是实现了同第一种方式相同的功能,虽然后者在处理速度上没有第一种方式及时,但整体防护能力上并未有太大什么区别。

d998a0053a5e29e8a8075f30249b572b.png

aebb88b1a2e2b2545ea304c35ca98b79.png

bae5d8e880d2293d7787cb70304d6cb5.gif
snort 检测nmap_snort ***检测
weixin_42367947的博客
12-31 303
snort ***检测Snort ***检测系统系统环境:RHEL6 x86_64 selinux and iptables disabled软件下载:http://www.snort.org1. Snort 安装yum install -y gcc mysql mysql-server mysql-devel flex bsion pcre-devel libpcap-develrpm -ivh...
snort 检测nmap_Snort***检测系统安装与配置
weixin_39621794的博客
12-22 779
第1章 Snort简介第2章 软件列表第3章 Snort 安装与配置第4章 Snort的操作与使用第5章 常见问题与解决方法第1章 Snort简介Snort是一个免费的IDS(***监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络***监...
snortnmap
12-06
Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。 nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
开源入侵检测系统Snort检测NMap扫描SQL注入
negnegil的博客
10-18 7006
前两篇我们完成了对Snort的安装、配置,了解了Snort配置为 IDS 的基本使用 这一篇讲一讲 Snort 如何对 Nmap扫描 SQL 注入进行检测 检测Nmap扫描 1、NMAP Ping扫描 规则 vim /etc/snort/rules/local.rules ##下面的规则都写入这个文件中 alert icmp any any -> 192.168.43.97 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000001; rev: 1
kali上安装配置snort以及简单实验
遇见你的注定的博客
05-26 9103
kali上安装配置snort以及简单实验 一、kailsnort 的安装 结构参考:https://blog.csdn.net/weixin_39625172/article/details/112415163这里是引用 预装daq所需程序 sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install libpcap-dev 安装daq wget https
网络通信安全:snort入侵检测系统使用.pdf
06-22
通过这个实验,参与者不仅能够掌握Snort的使用方法,还能深入理解入侵检测系统的工作原理在网络防御中的重要性。这有助于提升网络管理员的安全意识应对网络威胁的能力,进一步保障网络通信的安全。
snort检测端口扫描工具
最新发布
m0_72892640的博客
03-30 1110
前面两篇文章介绍snort3相关知识Ubuntu上的安装配置Snort规则定义并进行的简单的测试,接下来我将介绍如何编写一个简单的检测端口扫描的规则进行检测
snort安装与配置kali
02-10
### Snort 安装与配置指南 #### 一、环境准备 ...为了确认IDS能够有效识别潜在威胁行为,可以通过执行一些常见的渗透测试工具如nmap发起模拟攻击尝试触发告警机制,进而检验整个体系结构的有效性响应速度。
SOC_NOCC建设与入侵检测实践:Kali Linux指南
SOC主要负责监控、分析响应网络安全事件,而NOCC负责网络设备的监控故障处理。SOC_NOCC的结合可以实现安全运维的一体化管理,提高网络的安全性可靠性。 其中,SOC主要承担以下主要作用: - 实时监控网络...
怎么触发snort检测攻击
06-09
1. 使用nmap进行端口扫描:使用nmap扫描目标主机的端口,如果Snort已经配置了相应的规则,就会检测到端口扫描行为并触发警报。 2. 使用Metasploit进行漏洞攻击:使用Metasploit框架中的漏洞扫描攻击工具,尝试在...
Linux安裝snort
09-05
Linux安裝snortLinux安裝snortLinux安裝snortLinux安裝snortLinux安裝snort
Kali 下安装snort并且配置规则(保姆级教学)
weixin_67066346的博客
04-20 6121
你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!下面便进入正题吧,以下是snort的安装第一步:首先是先安装好以下几个包:如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)接着先去snort官网下载daq接下来在安装snort前,我们先安装LuaJIT库安装好后,我们便可以下载安装snort了,老样子,装daq一样的,右键复制snort的链接网址,然后下载
kali安装配置snort实现简单的入侵检测
阿渌的博客札记
11-28 8013
kali安装配置snort实现简单的入侵检测 参考 kali上安装配置snort以及简单实验(这篇是我安装过程中最为简洁的,也是错误较少的); Ubuntu 16.04安装snort含问题解决(示例代码)(这篇里面包含常见错误,虽然我出现的错误并没有解决); 前言 snort这个东西真的是魔鬼,前前后后在四个系统上安装了不知道多少次,最后终于在搭载了Ubuntu18的云服务器勉强安装完成。 安装失败的主要原因 网络不顺畅(这个也是以下很多原因出现的主要原因); 依赖环境安装不全; 配置失败的主要原因
snort 实验
qq_28938301的博客
05-18 727
报的错大意是找不到黑白名单的文件,而在snort.conf文件中可以看到系统找寻的路径是在rules文件夹下,所以在rules文件夹内新建white_list.rulesblack_list.rules即可,而以后如果要使用黑白名单的功能时只需对这两个文件进行写入即可。IDS 模式运行时会创建一些目录,本文配置文件储存在 /etc/snort 中(要先根据自己安装的设置进行路径定位),规则储存在 /etc/snort/rules中,日志粗存在 /var/log/snort 中,
kali虚拟机上安装Snort
weixin_54658101的博客
03-10 2696
kali虚拟机上snort的安装
Snort入侵检测系统简介
Nicholas的专栏
02-18 5627
前言 防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 实验目的 1.掌握snortIDS工作机理   2.应用snort三种方式工作   3.熟练编写snort规则 Snort IDS 概述 Snort IDS(入侵检测系统)是一个强大的网络入侵检测...
Snort入侵检测系统实验
m0_52089634的博客
01-03 6083
kaliSnort的实验
【网络安全实验】snort实现高级IDS
weixin_52553215的博客
02-01 2089
加深理解:我们说理解/etc/snort/sid-msg.map这个文件的意义非常重要,实体signature表示的是报警信息列表规范化,即将报警事件信息按规则编号(sig_id)、规则描述(sig_name)、规则分类编号(sig_class_id)规则优先级(sig_priority)规则版本号(sig_rev),规则在snort中的内部编号(sig_sid;根据上面命令执行结果会在/var/log/snort/目录下生成报警文件,大家可以看到报警文件格式都是snort.log.时间戳。
如何在Kali下安装snort
weixin_45150813的博客
06-09 3467
如何在Kali下安装snort安装daq安装daq前的准备开始安装daq安装snort安装snort前的准备开始安装snort测试是否成功 安装daq 由于snort的安装苦恼了很多人,自己也在snort的安装上踩坑了,因此来帮助大家避避坑。大家安装snort一定要跟着这篇文章的流程走,不然会出错。 安装daq前的准备 首先在命令行上输入以下命令,这些命令都是为了安装daq的依赖程序。 sudo apt-get install flex sudo apt-get install bison sudo apt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值