Snort入侵检测系统安装配置1027.docx
《Snort入侵检测系统安装配置1027.docx》由会员分享,可在线阅读,更多相关《Snort入侵检测系统安装配置1027.docx(13页珍藏版)》请在冰豆网上搜索。
Snort入侵检测系统安装配置1027
Snort入侵检测系统安装配置
1.实验目的
实现流量监控,实现入侵检测
2.拓扑图
3.拓扑图介绍
通过搭建snort检测系统,对局域网内的计算机进行流量监控,实现入侵检测
4.实验原理
5.实验步骤
①、libpcap是linux平台下的网络数据包捕获的含书包,大多数网络监控软件都是以它作为基础
在安装libpcap前,还要安装两个软件bison、flex
[root@bosssnort]#wgetftp:
//ftp.gnu.org/gnu/bison/bison-2.4.1.tar.bz2
[root@bosssnort]#tarxfbison-2.4.1.tar.bz2
[root@bosssnort]#cdbison-2.4.1
[root@bosssnort]# ./configure&&make&&makeinstall
[root@bosssnort]#wget
[root@bosssnort]#tarxfflex-2.5.35.tar.bz2
[root@bosssnort]#cdflex-2.5.35
[root@bosssnort]#./configure&&make&&makeinstall
安装libpcap
[root@bosssnort]#wgethttp:
//www.tcpdump.org/release/libpcap-1.0.0.tar.gz
[root@bosssnort]#tarzxvflibpcap-1.0.0.tar.gz
[root@bosssnort]#cdlibpcap-1.0.0
[root@bosssnort]#./configure--prefix=/usr/local/libpcap
[root@bosssnort]#make&&makeinstall
②、daq,snort编译时会用到该库
[root@bosssnort]#wgetftp:
//ftp7.freebsd.org/sites/
[root@bosssnort]#tarzxvfdaq-2.0.0.tar.gz
[root@bosssnort]#cddaq-2.0.0
[root@bosssnort]#./configure &&make&&makeinstall
③、libdnet 通用网络安全开发包
[root@bosssnort]#wget
ftp:
//ftp.slackware.org.uk/slacky/slackware-12.2/libraries/libdnet/1.11/src/libdnet-1.11.tar.gz
[root@bosssnort]#tarzxvflibdnet-1.11.tar.gz
[root@bosssnort]#cdlibdnet-1.11
[root@bosssnort]#./configure&&make&&makeinstall
④、安装PCRE库
[root@bosssnort]#wgetftp:
//ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.34.tar.gz
[root@bosssnort]#tarzxvfpcre-8.34.tar.gz
[root@bosssnort]#cdpcre-8.34
[root@bosssnort]#./configure&&make&&makeinstall
⑤、编译安装snort
[root@bosssnort]#wget
[root@bosssnort]#cdsnort-2.9.2.1
[root@bosssnort]#./configure--with-mysql=/usr/local/mysql--with-libpcap-includes=/usr/local/libpcap/include--with-libpcap-libraries=/usr/local/libpcap/lib
[root@bosssnort]#make&&makeinstall
⑥、snort的相关配置
[root@bosssnort]#mkdir/etc/snort ------snort的主配置文件目录
[root@bosssnort]#mkdir/var/log/snort -------------snort的日志文件目录
[root@bosssnort]#groupaddsnort ---------创建snort用户组
[root@bosssnort]#useradd-gsnort-s/sbin/nologin snort ------------创建snort用户
[root@bosssnort]#wgetftp:
//ftp.mirrorservice.org/sites/
[root@bosssnort]#tarzxvfsnortrules-snapshot-2920.tar.gz-C/etc/snort/
[root@bosssnort]#cd/etc/snort/
[root@bosssnort]#ls
etc preproc_rules rules so_rules
[root@bosssnort]#cpetc/*/etc/snort/
[root@bosssnort]#chownsnort.snort/var/log/snort----------修改相关目录的属主和属组
[root@bosssnort]#touch/var/log/snort/alert
[root@bosssnort]#chownsnort.snort/var/log/snort/alert
[root@bosssnort]#chmod600/var/log/snort/alert ---------------防止其他用户修改
[root@bosssnort]#mkdir/usr/local/lib/snort_dynamicrules
[root@bosssnort]#cp/etc/snort/so_rules/precompiled/RHEL-6-0/x86-64/2.9.2.0/*.so /usr/local/lib/snort_dynamicrules/ -------------库文件
[root@bosssnort]#vim/etc/snort/snort.conf#修改下面这几行
varRULE_PATH/etc/snort/rules
varSO_RULE_PATH/etc/snort/so_rules
varPREPROC_RULE_PATH/etc/snort/preproc_rules
outputunified2:
filenamesnort.log,limit128
⑦、mysql数据库的修改
[root@bosssnort]#mysql–uroot-p
[root@bosssnort]#mysql>createdatabasesnort; --------------创建snort数据库
[root@bosssnort]#mysql>grantallprivilegesonsnort.*tosnort@'localhost'withgrantoption; -------------给snort用户授权
[root@bosssnort]#mysql>setpasswordforsnort@localhost=password('123456'); --------这也是一种修改mysql用户密码的方式
[root@bosssnort]#cd/opt/snort/snort-2.9.2.1/schemas/
[root@bossschemas]#mysql–uroot–p[root@bosssnort]#
[root@bosssnort]#
[root@bosssnort]#
[root@bosssnort]#
⑧、Base解压
[root@bosssnort]#wget
[root@bossopt]#tarzxvfbase-1.4.5.tar.gz-C/usr/local/apache2/htdocs/yzx01com/
[root@bossyzx01com]#mvbase-1.4.5base
⑨、pear的安装
(Pear是PHP扩展与应用库的缩写,它是一个php扩展及应用的一个代码仓库)
[root@boss~]#/usr/local/php5/bin/pearinstallmage_Graph-alphaImage_Canvas-alphaImage_ColorNumbers_RomanMail_MimeMail//php编译安装在/usr/local/php5目录下
[root@bossbase]#cpworld_map6.pngworld_map6.txt/usr/local/php5/lib/php/Image/Graph/Images/Maps//复制base文件到maps中
⑩、安装adobd
[root@bosssnort]wget
[root@bossopt]#unzipadodb511.zip
[root@bossopt]#mvadodb5/usr/local/apache2/htdocs/yzx01com/adodb/
⑪、base的安装
[root@bossyzx01com]#chowndaemon.daemon/usr/local/apache2/htdocs/yzx01com/base/-R
在浏览器中输入
点击Continue
选择简体中文,下面输入adodb的路径/usr/local/apache2/htdocs/yzx01com/adodb/然后点击Continue
填入相关的mysql信息,点击continue
设置管理账号密码,点击continue
可以看到红色部分表示成功,继续下一步点击 Nowcontinuetostep5...
就可以看到base界面了
⑫、页面配置完成后,还需要安装一下图标的插件,这个时候就要求php必须得支持gd了
如果想让BASE起作用还得需要安装一些插件,必须联网才能安装
//php编译安装在/usr/local/php5目录下
[root@boss~]#/usr/local/php5/bin/pearinstallimage_Canvas-alpha
[root@boss~]#/usr/local/php5/bin/pearinstallimage_Graph-0.8.0
[root@boss~]#/usr/local/php5/bin/pearinstallNumbers_Roman
⑬、测试snort
再次修改snort的配置文件
[root@boss~]#vim/etc/snort/snort.conf
将 511#outputdatabase:
alert,,user=password=testdbname=host=
512#outputdatabase:
log,,user=password=testdbname=host=
这地方一定要注意,如果使用的是snort-2.9.2.1版本,请你务必按照格式改,改版本存有bug,每一项后面都要加","而且之间不能有空格!
要不然会报
将 110varWHITE_LIST_PATH/etc/snort/rules
111varBLACK_LIST_PATH/etc/snort/rules
488 whitelist$WHITE_LIST_PATH/white_list.rules,\
489 blacklist$BLACK_LIST_PATH/black_list.rules
这四行注释掉,即在每行前面加#
将下面三行的#去掉
594include$PREPROC_RULE_PATH/preprocessor.rules
595include$PREPROC_RULE_PATH/decoder.rules
596include$PREPROC_RULE_PATH/sensitive-data.rules
⑭、测试snort
[root@boss~]#snort-c/etc/snort/snort.conf
如果可以看到这只小猪,那么就证明你成功了
在这一步完成后,snort不会自己退出,需要使用ctrl+c自己终止退出。
再次打开浏览器
这里已经检测到数据了,但是数据不够,接下来我们需要更多的测试。
⑮、入侵测试
windows下的一个扫描工具PortScan
⑯、扫描完成后,再次打开页面
鼠标点击,圈中的那个43%(TCP)查看详细的入侵记录
鼠标点击,圈中的那个57%(ICMP)查看详细的入侵记录