【编者按】
Snort是被设计用来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。Snort是一个免费的、跨平台的软件包,用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。它可以运行在Linux/UNIX和Win32系统上,你只需要几分钟就可以安装好并可以开始使用它。
|
|
|
|
|
你可以在下载Snort的网页上看到,预编译的二进制文件已经被封装,用来维持与其他程序的兼容性,例如mySQL和PostgreSQL
# snort -?
打印出最常用的选项
Test-drive是用来保证正确的安装。只监视本地机器,-I=interface:
# snort -vdei eth0
用CTRL+C来停止测试。不要忘了将你的网卡设为混杂模式。Snort将以后台程序形式运行,并会以开启停止形式出现。
Packet Sniffer模式
这种模式下,只将TCP/IP报头打印出来
# snort -v
查看应用层数据
# snort -vd
数据联接层报头
# snort -vde
记录
除非你对16进制很熟悉,你还是将其写入磁盘
# snort -vdel /var/log/snort
这里的“-l”表示“log”,记录。告诉Snort记录当地网络的任何事情,-h表示本地:
# snort -vdel /var/log/snort -h 192.168.1.0/24
这个为每个主机生成一个单独的目录。如果要将这些都放到一个二进制文件中,使用-b来切换
# snort -l /var/log/snort -b
指定任何其他选项是没有意义的,如果你需要Snort的安装选项或者使用tcpdump,请解析出这个文件,-r表示读并处理文件。
# snort -vder /var/log/snort/snort-0629@1600.log
对Berkeley Packet Filter解析出特定的项目
# snort -vder /var/log/snort/snort-0629@1600.log udp
# snort -vr /var/log/snort/snort-0629@1600.log tcp
# snort -ver /var/log/snort/snort-0629@1600.log icmp
对Berkeley Packet Filter用man查看snort和tcpdump的其他选项。
网络侵入探测模式
现在我们进入真正的Snort工具。看一下/etc/snort/snort.conf,全局配置文件。Snort的规则设置也以文本文件形式存放在/etc/snort。最后仔细看一下这一行:
var HOME_NET $eth0_ADDRESS
这个是按照本地网卡的网络设置来初始化Snort。
为了保证速度,记录每个单个的包并显示在屏幕上是不可能的。包会被丢弃,而记录文件会变得非常庞大。使用-v切换,这样就不会显示在屏幕上,我们可以不用-e,数据连接报头:
# snort -dl /var/log/snort -h 192.168.1.0/24 -c /etc/snort/snort.conf
-h表示本地网络,-c表示使用规则设定。这是最基本的,用ASCII记录安装规则定义的包。使用-b切换记录为二进制文件。注意定义子网范围用CIDR符号。
这些神秘的规则设定是从哪里来得呢?两个来源:从Snort.org,包括在RPM或是下载的二进制文件中;从Martin Roesch,Snort的制作者,他设计的Snort在所有方面都很迅速:安装、运行和对攻击的反应。如果你有能力分析一个攻击和确认一个独特的信号,你可以自己写一个规则来发现并记录它。参见你下载的Snort用户手册(SnortUsersManual.pdf),这是一个非常好的写定制规则指南。(这些文件都可以在线获得)Snort.org每天更新规则设定,你可以下载让你满意的。你可以在Snort.org上的Snort/contrib目录找到snortpp,可以用它来合并新的规则
在哪里配置Snort?
如果你有时间和资源,将Snort放到防火墙的两侧是最好的。比较一下哪些撞上你的防火墙,哪些顺利通过你的防火墙,你会非常惊讶在Internet上有如此之多的恶意攻击。Snort占用空间很少,使你可以在防火墙后运行一个简单的Snort来增加一个保护层,更加容易管理,
来源:
a.. Snort
b.. MD5
c.. libpcap
d.. CIDR FAQ
【责任编辑:雷震】 
【责任编辑 李旭海】
|
|
|
投稿信箱: | 内容合作:010—65245588—3137 |
|
|
|
