入侵检测与蜜罐技术.ppt

Snort有三种工作模式。1.嗅探器模式所谓的嗅探器模式就是snort从网络上读出数据包然后显示在控制台上。2.数据包记录器如果要把所有的包记录到硬盘上，需要指定一个日志目录，snort就会自动记录数据包：./snort-dev-l./log3.网络入侵检测系统snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：./网络入侵检测模式下的输出选项snort有6种报警机制：full、fast、socket、syslog、smb(winpopup)和none。其中有4个可以在命令行状态下使用-A选项设置。这4个选项是：AfastAfullAunsockAnone：采用三层分布式体系结构，包括网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量，将网络入侵探测器和入侵事件数据库整合在一台RedhatLinux8.0主机中，利用标准浏览器，异地访问主机上的Web服务器，并把它作为分析控制台，两者之间的通信采用HTTPS安全加密协议传输。Snort所需软件都是开放软件。表5.1给出了安装Snort所需软件包。安装入侵事件数据库MySQL安装openssl安装Snort所依赖的网络抓包库Libpcap，将其按照默认配置安装在/usr/local目录下。安装snort安装Web服务器Apache安装gd安装实现语言PHP安装分析控制台ACID可以把Snort的chroot环境放在/home/snort中，然后执行以下的指令新增Snort这个用户：#groupaddsnort#useradd-gsnort-d/home/snort-s/nonexists-cSnortUsersnort然后把这个文件解压到/home/snort中，此时在/home/snort/出现rules文件，即Snort使用的Ruleset。其中的snort.conf，是Snort的配置文件，需要按实际情况修改snort.conf。在snort.conf中，需要修改几个地方便可以执行Snort，以下是可能需要修改的地方：varHOME_NET网络或是主机的IP，例如只有这一台服务器，就可以只输入服务器的IP地址，如果机器有两个以上的IP，可以使用这个方法：varHOME_NET[,]或是-varSMTP[IP.Address]SMTP服务器的位置，如果与HOME_NET中的不同，只需把$HOME_NET删除，并加其指定SMTP机器的IP便可以。-varHTTP_SERVERSHTTP服务器，与SMTP中的设定相同，如成为WebServer的不是HOME_NET机器，可以指定给其他IP。-varDNS_SERVERSDNS服务器的IP地址，同时需要Uncomment以下一行：preprocessorportscan-ignorehosts:$DNS_SERVERS这可以防止因为DNS的Lookup而记录无用的PortScan。最后是有关记录部份的配置，刚才编译Snort时加入了MySQL的支持，为了使用MySQL记录，先要在MySQL中建立Snort使用的Databases、用者名及密码，执行以下命令：#echoCREATEDATABASEsnort;mysql-uroot-p#grantINSERT,SELECTonsnort.*tosnort@localhost然后在Snort的源码中contrib/create_mysql，再执行以下命令建立Tables#mysql-uroot-pcreate_mysql为了运行该系统，以超级用户身份执行下列命令：#mkdir/var/log/snort#chownsnort.snort/var/log/snort现在cd进入/home/snort，然后输入下列命令：/home/snort#snort-b-d-ieth0-usnort-gsnort-c/home/snort/rules/snort.conf-l/var/log/snort其中：-u功能是使snort由snort这个使用者执行，进入chroot的用者环境-c指定使用的指定目录只是在背景中执行alerttcpanyany-/2480(content:\cgi