Snort入侵检测系统安装配置1027.docx

Snort入侵检测系统安装配置1027.docx

《Snort入侵检测系统安装配置1027.docx》由会员分享，可在线阅读，更多相关《Snort入侵检测系统安装配置1027.docx（13页珍藏版）》请在冰豆网上搜索。

Snort入侵检测系统安装配置1027

Snort入侵检测系统安装配置

1.实验目的

实现流量监控，实现入侵检测

2.拓扑图

3.拓扑图介绍

通过搭建snort检测系统，对局域网内的计算机进行流量监控，实现入侵检测

4.实验原理

5.实验步骤

①、libpcap是linux平台下的网络数据包捕获的含书包，大多数网络监控软件都是以它作为基础

在安装libpcap前，还要安装两个软件bison、flex

[root@bosssnort]#wgetftp:

//ftp.gnu.org/gnu/bison/bison-2.4.1.tar.bz2

[root@bosssnort]#tarxfbison-2.4.1.tar.bz2

[root@bosssnort]#cdbison-2.4.1

[root@bosssnort]# ./configure&&make&&makeinstall

[root@bosssnort]#wget

[root@bosssnort]#tarxfflex-2.5.35.tar.bz2

[root@bosssnort]#cdflex-2.5.35

[root@bosssnort]#./configure&&make&&makeinstall

安装libpcap

[root@bosssnort]#wgethttp:

//www.tcpdump.org/release/libpcap-1.0.0.tar.gz

[root@bosssnort]#tarzxvflibpcap-1.0.0.tar.gz

[root@bosssnort]#cdlibpcap-1.0.0

[root@bosssnort]#./configure--prefix=/usr/local/libpcap

[root@bosssnort]#make&&makeinstall

②、daq，snort编译时会用到该库

[root@bosssnort]#wgetftp:

//ftp7.freebsd.org/sites/

[root@bosssnort]#tarzxvfdaq-2.0.0.tar.gz

[root@bosssnort]#cddaq-2.0.0

[root@bosssnort]#./configure &&make&&makeinstall

③、libdnet 通用网络安全开发包

[root@bosssnort]#wget

ftp:

//ftp.slackware.org.uk/slacky/slackware-12.2/libraries/libdnet/1.11/src/libdnet-1.11.tar.gz

[root@bosssnort]#tarzxvflibdnet-1.11.tar.gz

[root@bosssnort]#cdlibdnet-1.11

[root@bosssnort]#./configure&&make&&makeinstall

④、安装PCRE库

[root@bosssnort]#wgetftp:

//ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.34.tar.gz

[root@bosssnort]#tarzxvfpcre-8.34.tar.gz

[root@bosssnort]#cdpcre-8.34

[root@bosssnort]#./configure&&make&&makeinstall

⑤、编译安装snort

[root@bosssnort]#wget

[root@bosssnort]#cdsnort-2.9.2.1

[root@bosssnort]#./configure--with-mysql=/usr/local/mysql--with-libpcap-includes=/usr/local/libpcap/include--with-libpcap-libraries=/usr/local/libpcap/lib

[root@bosssnort]#make&&makeinstall

⑥、snort的相关配置

[root@bosssnort]#mkdir/etc/snort ------snort的主配置文件目录

[root@bosssnort]#mkdir/var/log/snort -------------snort的日志文件目录

[root@bosssnort]#groupaddsnort ---------创建snort用户组

[root@bosssnort]#useradd-gsnort-s/sbin/nologin snort  ------------创建snort用户

[root@bosssnort]#wgetftp:

//ftp.mirrorservice.org/sites/

[root@bosssnort]#tarzxvfsnortrules-snapshot-2920.tar.gz-C/etc/snort/

[root@bosssnort]#cd/etc/snort/

[root@bosssnort]#ls

etc preproc_rules rules so_rules

[root@bosssnort]#cpetc/*/etc/snort/

[root@bosssnort]#chownsnort.snort/var/log/snort----------修改相关目录的属主和属组

[root@bosssnort]#touch/var/log/snort/alert

[root@bosssnort]#chownsnort.snort/var/log/snort/alert

[root@bosssnort]#chmod600/var/log/snort/alert ---------------防止其他用户修改

[root@bosssnort]#mkdir/usr/local/lib/snort_dynamicrules

[root@bosssnort]#cp/etc/snort/so_rules/precompiled/RHEL-6-0/x86-64/2.9.2.0/*.so /usr/local/lib/snort_dynamicrules/ -------------库文件

[root@bosssnort]#vim/etc/snort/snort.conf#修改下面这几行

varRULE_PATH/etc/snort/rules

varSO_RULE_PATH/etc/snort/so_rules

varPREPROC_RULE_PATH/etc/snort/preproc_rules

outputunified2:

filenamesnort.log,limit128

⑦、mysql数据库的修改

[root@bosssnort]#mysql–uroot-p

[root@bosssnort]#mysql>createdatabasesnort;     --------------创建snort数据库

[root@bosssnort]#mysql>grantallprivilegesonsnort.*tosnort@'localhost'withgrantoption; -------------给snort用户授权

[root@bosssnort]#mysql>setpasswordforsnort@localhost=password（'123456'）; --------这也是一种修改mysql用户密码的方式

[root@bosssnort]#cd/opt/snort/snort-2.9.2.1/schemas/

[root@bossschemas]#mysql–uroot–p

[root@bosssnort]#

[root@bosssnort]#

[root@bosssnort]#

[root@bosssnort]#

⑧、Base解压

[root@bosssnort]#wget

[root@bossopt]#tarzxvfbase-1.4.5.tar.gz-C/usr/local/apache2/htdocs/yzx01com/

[root@bossyzx01com]#mvbase-1.4.5base

⑨、pear的安装

      （Pear是PHP扩展与应用库的缩写，它是一个php扩展及应用的一个代码仓库）

[root@boss~]#/usr/local/php5/bin/pearinstallmage_Graph-alphaImage_Canvas-alphaImage_ColorNumbers_RomanMail_MimeMail//php编译安装在/usr/local/php5目录下

[root@bossbase]#cpworld_map6.pngworld_map6.txt/usr/local/php5/lib/php/Image/Graph/Images/Maps//复制base文件到maps中

⑩、安装adobd

[root@bosssnort]wget

[root@bossopt]#unzipadodb511.zip

[root@bossopt]#mvadodb5/usr/local/apache2/htdocs/yzx01com/adodb/

⑪、base的安装

[root@bossyzx01com]#chowndaemon.daemon/usr/local/apache2/htdocs/yzx01com/base/-R

在浏览器中输入

点击Continue

选择简体中文，下面输入adodb的路径/usr/local/apache2/htdocs/yzx01com/adodb/然后点击Continue

填入相关的mysql信息，点击continue

设置管理账号密码，点击continue

可以看到红色部分表示成功，继续下一步点击 Nowcontinuetostep5...

就可以看到base界面了

⑫、页面配置完成后，还需要安装一下图标的插件，这个时候就要求php必须得支持gd了

如果想让BASE起作用还得需要安装一些插件，必须联网才能安装

//php编译安装在/usr/local/php5目录下

[root@boss~]#/usr/local/php5/bin/pearinstallimage_Canvas-alpha

[root@boss~]#/usr/local/php5/bin/pearinstallimage_Graph-0.8.0

[root@boss~]#/usr/local/php5/bin/pearinstallNumbers_Roman

⑬、测试snort

再次修改snort的配置文件

[root@boss~]#vim/etc/snort/snort.conf

将 511#outputdatabase:

alert,,user=password=testdbname=host=

  512#outputdatabase:

log,,user=password=testdbname=host=

这地方一定要注意，如果使用的是snort-2.9.2.1版本，请你务必按照格式改，改版本存有bug，每一项后面都要加","而且之间不能有空格！

要不然会报

将 110varWHITE_LIST_PATH/etc/snort/rules

  111varBLACK_LIST_PATH/etc/snort/rules

   488  whitelist$WHITE_LIST_PATH/white_list.rules,\

  489  blacklist$BLACK_LIST_PATH/black_list.rules

这四行注释掉，即在每行前面加#

将下面三行的#去掉

594include$PREPROC_RULE_PATH/preprocessor.rules

595include$PREPROC_RULE_PATH/decoder.rules

596include$PREPROC_RULE_PATH/sensitive-data.rules

⑭、测试snort

[root@boss~]#snort-c/etc/snort/snort.conf

如果可以看到这只小猪，那么就证明你成功了

在这一步完成后，snort不会自己退出，需要使用ctrl+c自己终止退出。

再次打开浏览器

这里已经检测到数据了，但是数据不够，接下来我们需要更多的测试。

⑮、入侵测试

windows下的一个扫描工具PortScan

⑯、扫描完成后，再次打开页面

鼠标点击，圈中的那个43%（TCP）查看详细的入侵记录

鼠标点击，圈中的那个57%（ICMP）查看详细的入侵记录