本文详细介绍了Snort入侵检测系统(IDS)的安装与配置过程,包括Snort的基本功能、依赖软件的安装(如MySQL、Apache等)、Snort的规则配置以及与数据库的集成。此外,文章还提到了网络服务器的安全部署和运行,以及系统监控与分析工具ACID的安装和使用,旨在建立一个有效的网络入侵检测系统。
第1章Snort简介
第2章软件列表
第3章Snort 安装与配置
第4章Snort的操作与使用
第5章常见问题与解决方法
第1章Snort简介
Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢出攻击,端口扫描,CGI攻击,SMB探测等等。Snort具有实时的告警能力,将告警记入一个特别的告警文件--系统日志,或者将告警信息通过samba转发给另一台Windows PC机。Snort首先根据远端的ip地址建立目录,然后将检测到的包以tcpdump的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.
snort是一个轻量级的入侵检测系统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。snort的报文截取代码是基于libpcap库的,继承了libpcap库的平台兼容性。它能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。snort使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。snort具有良好的扩展能力。它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。snort还能够记录网络数据,其日志文件可以是tcpdump格式,也可以是解码的ASCII格式。
软件名称
功能简述
正式网址
软件版本
Snort
网络入侵探测器
1.8.6
Libpcap
Snort所依赖的网络抓包库
0.7.1
MySQL
入侵事件数据库
3.23.49
Apache
Web服务器
1.3.24
Mod_ssl
为Apache提供SSL加密功能的模块
2.8.8
OpenSSL
开放源代码的SSL加密库,为mod_ssl所依赖
0.9.6d
MM
为Apache的模块提供共享内存服务
1.1.3
ACID
基于Web的入侵事件数据库分析控制台
0.9.6b21
PHP
ACID的实现语言
4.0.6
GD
被PHP用来即时生成PNG和JPG图像的库
1.8.4
ADODB
为ACID提供便捷的数据库接口
2.00
PHPlot
ACID所依赖的制图库
4.4.6
在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具。
1.安装入侵事件数据库MySQL
首先,以超级用户的身份登录系统,创建MySQL用户和MySQL用户组;然后,以MySQL身份登录,按照缺省配置将MySQL安装在/usr/local目录下;接下来,将源代码树中的缺省配置文件My.cnf拷贝到/etc目录下;再用超级用户身份执行源码树中Scripts目录下的可执行脚本文件Mysql_install_db创建初始数据库;随后,用/etc/init.d/mysql.server命令启动数据库服务器,使用/usr/local/bin/mysqladmin程序改变数据库管理员的口令。
2.安装Snort
首先安装Snort所依赖的网络抓包库Libpcap,将其按照缺省配置安装在/usr/local目录下之后,开始正式安装Snort。
#gzip -d -c snort-1.8.6.tar.gz | tar xvf -
#cd snort-1.8.6
#./configure --prefix=/usr/local --with-mysql=/usr/local
--with-libpcap-includes=/usr/loca
最低0.47元/天 解锁文章
759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
