博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2413|回复: 1

[Snort IDS] Snort IDS 专题

[复制链接]
发表于 2007-4-13 09:28:12 | 显示全部楼层 |阅读模式
[Snort IDS] Snort IDS 专题


最近在学习snort, 刚好有些资料要和大家分享,如果大家有什么好的资料也一起拿过来分享吧, 也请大家尽量不要做无关的回复,谢谢。

  1。[原创][Snort IDS系列之]使用Oinkmaster 自动更新Snort Rules
     欢迎大家拍砖,第一次这么认真写文档。主要讨论如何在linux下自动更新snort rules, windows 下应该也差不多的,欢迎交流。
   http://www.netexpert.cn/viewthread.php?tid=2444&fpage=1

  2。  [电子书]Snort安装,使用手册
   http://www.netexpert.cn/viewthread.php?tid=2257&fpage=2

  3。[电子档]Snort 2.1 Intrusion Detection Second Editon
   非常全面的介绍了snort 相关的知识,包括原理,安装,配置,自动升级,各种插件,总之能够让你了解snort的方方面面,内容也写的广泛深入,喜欢snort的朋友一定不要错过喔.

   http://www.netexpert.cn/viewthread.php?tid=2408&fpage=1

  4。 [Snort IDS]Intrusion Detection Systems with Snort
  
  另一本介绍snort 的好书,这是能在网上找到的几本不可多得的snort的好书之一。
  http://www.netexpert.cn/viewthread.php?tid=2457&fpage=1
 楼主| 发表于 2007-4-13 09:28:48 | 显示全部楼层
5. [转贴]Snort+Guardian的安装   
文章标题          Snort+Guardian的安装           
张贴者:        garfield (enthusiast)
张贴日期        01/18/05 07:59 PM
原文出自:http://www.linuxforum.net/docnew ... =new&Number=941


Snort 是一个开源的轻量级入侵监测系统,可以监测网络上的异常情况,给出报告;
Guardian是基于Snort+IPTables的一个主动防火墙,它分析Snort的日志文件,根据一定的判据自动将某些恶意的IP自动加入IPTables的输入链,将其数据包丢弃。
我自使用Snort+Guardian以来,每天可以看到很多的恶意行为被终止,心里很是高兴!

推荐大家使用!

安装步骤:
1)安装Snort:
*现在Snort & Guardian,目前下载地址为:
http://www.snort.org/dl/snort-2.3.0RC2.tar.gz
http://www.snort.org/dl/contrib/ ... guardian-1.6.tar.gz

*将上述文件拷贝至/tmp
*tar zxvf *.tgz
*cd snort-2.3.0RC2
*./configure
*make
*make install
*mkdir /etc/snort
*cd /etc/snort
*wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
* tar zxvf snortrules-snapshot-CURRENT.tar.gz
*mkdir /var/log/snort
*cd /etc
*vi snort.conf
修改后一些关键设置如下:
var HOME_NET yournetwork
var RULE_PATH /etc/snort/rules
preprocessor http_inspect: global \
iis_unicode_map /etc/snort/rules/unicode.map 1252
include /etc/snort/rules/reference.config
include /etc/snort/rules/classification.config

如:yournetwork 220.8.0.0/16

同时,可以选择将类似
include $RULE_PATH/local.rules
等,前面的#号去掉,设置自己的规则集

* /usr/local/bin/snort -D -l /var/log/snort -c /etc/snort.conf

* 将上一条命令写入/etc/rc.d/rc.local

2)安装guardian---需要perl支持
* cd /tmp
* tar zxvf guardian-1.6.tar.gz
* cd guardian-1.6
* echo > /etc/guardian.ignore
* cp guardian.pl /usr/local/bin/.
* cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
* cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
* cp guardian.conf /etc/.
* vi /etc/guardian.conf
如下:
HostGatewayByte 1
# guardian的日志文件
LogFile /var/log/guardian.log

#guardian从何处读取snort的日志
AlertFile /var/log/snort/alert

#将你需要忽略的IP放在此文件中
IgnoreFile /etc/guardian.ignore

# 封锁IP的最长时间,99999999为没有时限
TimeLimit 86400

* /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
* 将上一条命令加入 /etc/rc.d/rc.local

至此,完成设置

注意:
1)snort的规则文件经常更新,可以使用如下脚本自动更新:
#!/bin/sh
cd /etc/snort
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
tar zxvf snortrules-snapshot-CURRENT.tar.gz
exit 0

*将上述脚本存为snortupdate,并放置到/etc/cron.daily/下,可以每天更新一次;

2)guardian有时会自动退出,可以使用如下脚本解决:
#!/bin/sh
/usr/local/bin/killguardian
/usr/local/bin/guardian.pl -c /etc/guardian.conf
exit 0

将上述脚本存为restartguardian,放置到/usr/local/bin

同时,crontab -e,加入如下一句:
* */6 * * * /usr/local/bin/restartguardian

意思为:每6小时重新启动guardian


脚本:killguardian
#!/usr/bin/perl
#杀死当前guardian.pl进程,需要安装perl module Proc:rocessTable
#访问http://www.cpan.org可以获得上述module
use Proc:rocessTable;

$t = new Proc:rocessTable;

foreach $p (@{$t->table})
{

kill 9, $p->pid if $p->cmndline =~ 'guardian.pl';

}
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 23:05 , Processed in 0.238143 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表