資源描述:
《snort 安裝使用截圖》由會員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1���、Snort在1998年,MartinRoesch先生用C語言開發(fā)了開放源代碼(OpenSource)的入侵檢測系統(tǒng)Snort.直至今天,Snort已發(fā)展成為一個多平臺(Multi-Platform),實(shí)時(Real-Time)流量分析,網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)(NetworkIntrusionDetection/PreventionSystem),即NIDS/NIPS.Snort符合通用公共許可(GPL——GUNGeneralPubicLicense),在網(wǎng)上
2�����、可以通過免費(fèi)下載獲得Snort,并且只需要幾分鐘就可以安裝并開始使用它.snort基于libpcap����。目錄簡介相關(guān)條目基本指令封包記錄模式基本指令入侵偵測模式主要指令 Snort有三種工作模式:嗅探器���、數(shù)據(jù)包記錄器�、網(wǎng)絡(luò)入侵檢測系統(tǒng)�。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上����。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上���。網(wǎng)路入侵檢測模式是最復(fù)雜的����,而且是可配置的���。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則,并根據(jù)檢測結(jié)果采取一定的動作����。 Snort最重要的用途還是作為網(wǎng)
3�、絡(luò)入侵檢測系統(tǒng)(NIDS)?���! ∈褂煤喗椤 nort并非復(fù)雜難以操作的軟體。Snort可以三個模式進(jìn)行運(yùn)作: 偵測模式(SnifferMode):此模式下�����,Snort將在現(xiàn)有的網(wǎng)域內(nèi)擷取封包,并顯示在螢?zāi)簧?��。封包紀(jì)錄模式(packetloggermode):此模式下�,Snort將已擷取的封包存入儲存媒體中(如硬碟)����。上線模式(inlinemode):此模式下,Snort可對擷取到的封包做分析的動作�����,并根據(jù)一定的規(guī)則來判斷是否有網(wǎng)路攻擊行為的出現(xiàn)���?�! 』局噶睿簜蓽y模式 若你想要在螢?zāi)簧巷@示網(wǎng)路封包的
4�、標(biāo)頭檔(header)內(nèi)容�����,請使用 ./snort-v 如果想要在螢?zāi)簧巷@示正在傳輸?shù)姆獍鼧?biāo)頭檔內(nèi)容����,請使用 ./snort-vd 如果除了以上顯示的內(nèi)容之外���,欲另外顯示資料連結(jié)層(Datalinklayer)的資料的話,請使用 ./snort-vde封包記錄模式 在記錄封包之前��,您必須先指定一個目錄來儲存該資料���。舉例而言����,若您在您目前的目錄下建立了一個名為log的目錄���,欲存紀(jì)錄資料于該目錄下的話,請使用 ./snort-dev-l./log 若想要以二進(jìn)位碼(binarycode)的方式
5��、來儲存封包資料的話�,請使用 ./snort-l./log-b 若欲讀取某已儲存的封包記錄檔案(假設(shè)其檔名為packet.log),請使用 ./snort-dvrpacket.log 若欲讀取該檔案中特定網(wǎng)路協(xié)定的資訊(假設(shè)是tcp協(xié)定)����,請使用 ./snort-dvrpacket.logtcp入侵偵測模式 若欲使用入侵偵測模式,請使用 ./snort-dev-l./log-h192.168.1.0/24-csnort.conf 其中snort.conf是封包的簽章檔案 若不需要得知資料連
6���、結(jié)層的資訊�,請使用 ./snort-d-h192.168.1.0/24-l./log-csnort.conf 以下是Snort在入侵偵測模式的指令選項: -Afast快速警告模式 -Afull完整警告模式(預(yù)設(shè)) -Aunsock將警告訊息送至UNIX的socket上,供其他裝置檢視 -Anone關(guān)閉警告功能 -Aconsole將警告訊息送至終端機(jī)(Console) 線上模式 封包的抓取不透過libcap�,而是透過防火墻,并可告知防火墻是否讓此封包通過�。啟用線上模式使用./snort-Q
7、d-h192.168.0.0/16-l./log-csnort.conf 防火墻的設(shè)定 *Linux oiptables-tnat-APREROUTING-jQUEUE 編輯Snort偵測規(guī)則 以下是一種編輯偵測規(guī)則(Snortrule)的例子: alerttcpanyany->192.168.1.0/24111 依次分為以下幾個部份: 標(biāo)頭 標(biāo)頭的部份指的是此規(guī)則欲執(zhí)行的動作�。以上的例子為"alert",即警示��。完整的標(biāo)頭選項列表如下: alert產(chǎn)生警示 log紀(jì)錄該封包 pa
8��、ss忽略該封包 activate產(chǎn)生警示�,并開啟另一個動態(tài)規(guī)則 dynamic被activate指令觸發(fā)后所執(zhí)行的規(guī)則 drop讓iptable丟棄該類型封包并記錄下來 reject讓iptable丟棄該類型封包,并送出TCP重新啟動(TCPReset)的封包 sdrop讓iptable丟棄該類型封包��,但不記錄 通訊協(xié)定 通訊協(xié)定指出執(zhí)行該規(guī)則的協(xié)定為何����。上述的例子是tcp協(xié)定?�! ∧壳皊nort支援四種通訊協(xié)定
