Snort 入侵偵測系統--Install and Use
原始網頁:<A href="http://redhat.ecenter.idv.tw/bbs/showthread.php?s=1382f28268b562695d14e17a1d10d1b7&threadid=28763&highlight=snort" target=_blank>Snort 入侵偵測系統</A><BR><BR>1.介紹 <BR>Snort 它是一套免費的小型「IDS-入侵偵測系統」,可用來偵測網路上的異常封包。它捉取和檢查所有的網路封包,並利用一些入侵偵測規則來判斷網路上是否有可能的入侵行為,而且這些偵測規則是使用開放的方式來發展的,所以你自己也可以加入偵測規則來加強入侵的偵測。 <BR>現在的Snort己經有能力判斷超過1100種入侵行為,就連最近粉紅ramen或Lion都偵測的到,但請切記Snort是一種被動的安全措施,您還是需要與其它的安全措施配和喔。 <BR><BR>2.下載及安裝 <BR>首先要先安裝libpcap,可到<A href="http://www.tcpdump.org/" target=_blank>http://www.tcpdump.org/</A> 抓取,最新版0.6.2或到<A href="http://home.gigigaga.com/keivn0329/libpcap-0.6.2.tar.gz" target=_blank>http://home.gigigaga.com/keivn0329/libpcap-0.6.2.tar.gz</A> <BR><BR>指令如下 <BR># tar zxf libpcap-0.6.2.tar.gz <BR># cd libpcap-0.6.2 <BR># cp Makefile.in Makefile <BR># ./configure <BR># make <BR># make clean <BR><BR><BR>再安裝snort,可到<A href="http://www.snort.org/" target=_blank>http://www.snort.org/</A> 抓取,最新版1.8.3 或到 <BR><A href="http://home.gigigaga.com/keivn0329/snort-1.8.3.tar.gz" target=_blank>http://home.gigigaga.com/keivn0329/snort-1.8.3.tar.gz</A> <BR><BR>指令如下 <BR># tar zxf snort-1.8.3.tar.gz <BR># cd snort-1.8.3 <BR># ./configure <BR># make <BR># make install <BR># make clean <BR><BR>3.執行 <BR>建議你自行上網找尋相關資料,在這僅簡單介紹! <BR>首先,snort安裝好後,你可以下 snort -v 指令來看看snort是否可正常運行 <BR>在snort目錄下有一個snort.conf檔,這是default的主要設定檔, <BR>你可以看一下裡面內容並做適當的修改在此不多加敘述,這個檔案會去include其他的設定檔, <BR>同樣的,你也可以適當的去修改這些檔案,不過你得先弄懂snort的規則! <BR>我的啟動指令如下 <BR># snort -D -c /home/scat/snort-1.8.3/snort.conf <BR>-D (以daemon方式啟動) <BR>-c (指定snort依snort.conf設定檔的設定運行) <BR><BR>如此一來,snort就會把偵測到的警告訊息存到/var/log/snort.alert及/var/log/snort/下, <BR>接下來,就看你如何運用了!!<BR><BR><BR><BR>參數介紹: <BR><BR>
<BR><BR>命令行是snort -[options] <BR><BR>選項: <BR>-A 設置的模式是full,fast,還是none;full模式是記錄 <BR>標準的alert模式到alert文件中;Fast模式只寫入時間戳,messages, <BR>IPs,ports到文件中,None模式關閉報警。 <BR>-a <BR>是顯示ARP包; <BR>-b <BR>是把LOG的信息包記錄為TCPDUMP格式,所有信息包都被記錄為兩進制形式,名字如<A href="mailto:snort-0612@1385.log">snort-0612@1385.log</A>,這個選項對FAST 記錄模式比較好,因為它不需要花費包的信息轉化為文本的時間。 Snort在100Mbps網絡中使用"-b"比較好。 <BR>-c <BR>使用配置文件,這個規則文件是告訴系統什樣的信息要LOG,或者要報警,或者通過。 <BR>-C <BR>在信息包信息使用ASCII碼來顯示,而不是hexdump, <BR>-d <BR>解碼應用層。 <BR>-D <BR>把snort以守護進程的方法來運行,默認情況下ALERT記錄發送到/var/log/snort.alert文件中去。 <BR>-e <BR>顯示並記錄2個信息包頭的數據。 <BR>-F 從文件中讀BPF過濾器(filters),這裡的filters是標準 的BPF格式過濾器,你可以在TCPDump裡看到,你可以查看TCPDump 的man頁怎樣使用這個過濾器。 <BR>-h 設置網絡地址,如一個C類IP地址192.168.0.1或者其他的,使用這個選項,會使用箭頭的方式數據進出的方向。 <BR>-I <BR>使用網絡接口參數 <BR>-l <BR>LOG信息包記錄到目錄中去。 <BR>-M <BR>發送WinPopup信息到包含文件中存在的工作站列表中去,這選項需要Samba的支持,wkstn文件很簡單,每一行只要添加包含在SMB中的主機名即可。(注意不需要\\兩個斜槓)。 <BR>-n <BR>是指定在處理個數據包退出。 <BR>-N <BR>關閉LOG記錄,但ALERT功能仍舊正常。 <BR>-o <BR>改變所採用的記錄文件,如正常情況下採用Alert-><img src="http://dz.adj.idv.tw/images/smilies/default/titter.gif" border=0 smilieid="9">ass->Log order, 而採用此選項是這樣的順序:Pass->Alert->Log order,其中Pass是那些允許通過的規則而不記錄和報警,ALERT是不允許通過的規則, LOG指LOG記錄,因為有些人就喜歡奇奇怪怪,像CASPER,QUACK就喜歡反過來操作。 <BR>-p <BR>關閉雜亂模式嗅探方式,一般用來更安全的調試網絡。 <BR>-r <BR>讀取tcpdump方式產生的文件,這個方法用來處理如得到一個 Shadow(Shadow IDS產生)文件,因為這些文件不能用一般的EDIT來編輯查看。 <BR>-s LOG <BR>報警的記錄到syslog中去,在LINUX機器上,這些警告信息會出現在/var/log/secure,在其他平台上將出現在/var/log/message中去。 <BR>-S 這個是設置變量值,這可以用來在命令行定義Snort rules文件中的變量,如你要在Snort rules文件中定義變量HOME_NET,你可以在命令行中給它預定義值。 <BR>-v <BR>使用為verbose模式,把信息包打印在console中,這個選項使用會使速度很慢,這樣結果在記錄多的是時候會出現丟包現象。 <BR>-V <BR>顯示SNORT版本並退出; <BR>-? <BR>顯示使用列表並退出;