[Snort IDS] Snort IDS 专题

network

[Snort IDS] Snort IDS 专题


最近在学习snort, 刚好有些资料要和大家分享，如果大家有什么好的资料也一起拿过来分享吧， 也请大家尽量不要做无关的回复，谢谢。

  1。[原创][Snort IDS系列之]使用Oinkmaster 自动更新Snort Rules
     欢迎大家拍砖，第一次这么认真写文档。主要讨论如何在linux下自动更新snort rules, windows 下应该也差不多的，欢迎交流。
   http://www.netexpert.cn/viewthread.php?tid=2444&fpage=1

  2。  [电子书]Snort安装,使用手册
   http://www.netexpert.cn/viewthread.php?tid=2257&fpage=2

  3。[电子档]Snort 2.1 Intrusion Detection Second Editon
   非常全面的介绍了snort 相关的知识,包括原理,安装,配置,自动升级,各种插件,总之能够让你了解snort的方方面面,内容也写的广泛深入,喜欢snort的朋友一定不要错过喔.

   http://www.netexpert.cn/viewthread.php?tid=2408&fpage=1

  4。 [Snort IDS]Intrusion Detection Systems with Snort
  
  另一本介绍snort 的好书，这是能在网上找到的几本不可多得的snort的好书之一。
  http://www.netexpert.cn/viewthread.php?tid=2457&fpage=1

network

5. [转贴]Snort+Guardian的安装   
文章标题          Snort+Guardian的安装           
张贴者：        garfield (enthusiast)
张贴日期        01/18/05 07:59 PM
原文出自：http://www.linuxforum.net/docnew ... =new&Number=941


Snort 是一个开源的轻量级入侵监测系统，可以监测网络上的异常情况，给出报告；
Guardian是基于Snort+IPTables的一个主动防火墙，它分析Snort的日志文件，根据一定的判据自动将某些恶意的IP自动加入IPTables的输入链，将其数据包丢弃。
我自使用Snort+Guardian以来，每天可以看到很多的恶意行为被终止，心里很是高兴！

推荐大家使用！

安装步骤：
1）安装Snort:
*现在Snort & Guardian,目前下载地址为：
http://www.snort.org/dl/snort-2.3.0RC2.tar.gz
http://www.snort.org/dl/contrib/ ... guardian-1.6.tar.gz

*将上述文件拷贝至/tmp
*tar zxvf *.tgz
*cd snort-2.3.0RC2
*./configure
*make
*make install
*mkdir /etc/snort
*cd /etc/snort
*wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
* tar zxvf snortrules-snapshot-CURRENT.tar.gz
*mkdir /var/log/snort
*cd /etc
*vi snort.conf
修改后一些关键设置如下：
var HOME_NET yournetwork
var RULE_PATH /etc/snort/rules
preprocessor http_inspect: global \
iis_unicode_map /etc/snort/rules/unicode.map 1252
include /etc/snort/rules/reference.config
include /etc/snort/rules/classification.config

如：yournetwork 220.8.0.0/16

同时，可以选择将类似
include $RULE_PATH/local.rules
等，前面的#号去掉，设置自己的规则集

* /usr/local/bin/snort -D -l /var/log/snort -c /etc/snort.conf

* 将上一条命令写入/etc/rc.d/rc.local

2）安装guardian---需要perl支持
* cd /tmp
* tar zxvf guardian-1.6.tar.gz
* cd guardian-1.6
* echo > /etc/guardian.ignore
* cp guardian.pl /usr/local/bin/.
* cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
* cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
* cp guardian.conf /etc/.
* vi /etc/guardian.conf
如下：
HostGatewayByte 1
# guardian的日志文件
LogFile /var/log/guardian.log

#guardian从何处读取snort的日志
AlertFile /var/log/snort/alert

#将你需要忽略的IP放在此文件中
IgnoreFile /etc/guardian.ignore

# 封锁IP的最长时间，99999999为没有时限
TimeLimit 86400

* /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
* 将上一条命令加入 /etc/rc.d/rc.local

至此，完成设置

注意：
1）snort的规则文件经常更新，可以使用如下脚本自动更新：
#!/bin/sh
cd /etc/snort
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
tar zxvf snortrules-snapshot-CURRENT.tar.gz
exit 0

*将上述脚本存为snortupdate,并放置到/etc/cron.daily/下，可以每天更新一次；

2）guardian有时会自动退出，可以使用如下脚本解决：
#!/bin/sh
/usr/local/bin/killguardian
/usr/local/bin/guardian.pl -c /etc/guardian.conf
exit 0

将上述脚本存为restartguardian,放置到/usr/local/bin

同时，crontab -e，加入如下一句：
* */6 * * * /usr/local/bin/restartguardian

意思为：每6小时重新启动guardian


脚本：killguardian
#!/usr/bin/perl
#杀死当前guardian.pl进程，需要安装perl module Proc:rocessTable
#访问http://www.cpan.org可以获得上述module
use Proc:rocessTable;

$t = new Proc:rocessTable;

foreach $p (@{$t->table})
{

kill 9, $p->pid if $p->cmndline =~ 'guardian.pl';

}