Snort入侵检测系统构建
难度等级:中等
实验时长:200min
【实验目的】
通过本实验掌握snort入侵检测系统的搭建以及相关配置。
【实验环境】
Snort服务器登录信息:
用户名: college
密码: 360College
【实验原理】
搭建好Snort环境后,利用发包器,发送具有某种特征的数据包,检验规则的有效性。
实验步骤
预置环境说明:
OS为CentOS7.snort服务器已安装了daq、bison、 flex、libpcap、libdnet、ncurses、hwloc、luajit、pcre和zlib等工具插件以及mysql数据库。
***所有需要的软件,均在/home/IDS目录下。
一、snort安装
#tar xvf snort-2.9.11.1.tar.gz
#cd snort-2.9.11.1
#./configure --prefix=/usr/local/snort --enable-pthread --enable-gre --enable-mpls --enable-targetbased
#make && make install
#export PATH=$PATH:/usr/local/snort/bin
注意:
以上将snort安装到指定目录。从snort 2.3开始,不再支持mysql,因此,可采用barnyard2插件,将snort输出写入mysql数据库中。
验证 输入命令:#snort -V 出现一头小猪,并显示正确的版本号,说明snort已经安装成功。 注意:大写的-V。
二、建立数据库
首先建立mysql数据库:
1、下载barnyard2。
wget https://codeload.github.com/firnsy/barnyard2/zip/master 将下载的master文件,更名为master.zip。解压:unzip master.zip。 解压缩后,在barnyard2-master/schemas目录下,有一个create_mysql文件。
2、编辑它在文件开始处,加上如下两行:
create database snort;
use snort;
3、用下面的命令运行:
sudoservice mysql start
mysql -u root -p < create_mysql
然后输入密码mysql,即可