日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

構建小型的 FreeBSD 入侵檢測系統(tǒng)

云知道


1.Snort簡介
Snort 是一個強大的輕量級的網(wǎng)絡入侵檢測系統(tǒng) 。
它具有實時數(shù)據(jù)流量分析和日志IP 網(wǎng)絡數(shù)據(jù)包的能力,能夠進行協(xié)議分析,
對內(nèi)容進行搜索/匹配 。它能夠檢測各種不同的攻擊方式,對攻擊進行實時報警 。
更重要的它是免費的,在中小企業(yè)中很好的適應網(wǎng)絡環(huán)境,不需要太多的資源和資金就能建立起一個優(yōu)秀的IDS系統(tǒng) 。【構建小型的 FreeBSD 入侵檢測系統(tǒng)】2.系統(tǒng)平臺
安裝平臺選擇FreeBSD 4.9 ,本身足夠安全,堅固;特性喜歡PORTS安裝起來少了不少麻煩 。
Hawk# uname -a
FreeBSD hawk.the9 4.9-RELEASE FreeBSD 4.9-RELEASE
3.需要軟件
Mysql-server-3.23.58 http://mysql.secsup.org
Snort2.0.6 http://www.snort.org
Apache-2.0.47 http://www.apache.org
mod_php4-4.3.3,1 http://www.php.net
adodb-3.60_1 http://phplens.com
acid-0.9.6b23 http://acidlab.sourceforge.net
Jpgraph-1.12.2 http://jpgraph.techuk.com
4.安裝SNORT
1)安裝mysql
hawk# cd /usr/ports/databases/mysql323-server
hawk# make install
2)安裝apache
hawk# cd /usr/ports/www/apache2/
hawk# make install
3)安裝PHP
hawk # cd /usr/ports/www/mod_php4
hawk # make install
4)配置APACHE
編輯httpd.conf (/usr/local/etc/apache2)
DocumentRoot "/usr/local/www/snort"
LoadModule php4_module modules/libphp4.so
AddType application/x-httpd-php .php
5)安裝SNORT
hawk# mkdir /etc/snort
hawk# mkdir /var/log/snort
hawk# tar -zxvf snort-2.0.6.tar.gz
hawk# mv snort-2.0.6 /etc/snort
hawk# ./configure --with-mysql
hawk# make
hawk# make install
hawk# cd /etc/snort/etc
hawk# cp snort.conf /etc/snort/
hawk# cp *.config /etc/snort
6) 安裝SNORT的規(guī)則庫
可以在SNORT站點上下載標準規(guī)則庫,基本夠用了 。2.0.0.x的SNORT使用STABLE rules,而2.0.1.x的SNORT使用CURRENT rules 。
hawk# mkdir /etc/snort/etc
hawk# wget http://www.snort.org/dl/rules/snortrules-stable.tar.gz
hawk# tar xvfz snortrules-stable.tar.gz
7)配置SNORT
修改snort.conf (/etc/snort/snort.conf)
var HOME_NET 172.18.0.0/22 (修改為你的內(nèi)部網(wǎng)網(wǎng)絡地址)
var EXTERNAL_NET any #外網(wǎng),關鍵字any這里表示HOME_NET之外的所有地址
var DNS_SERVERS 202.197.32.12 #DNS 服務器
var RULE_PATH ../rules 修改為 var RULE_PATH /etc/snort/etc/rules
改變記錄日志數(shù)據(jù)庫:
output database: log, mysql, user=root passWord=your_password dbname=snort host=localhost
8) 設置snort啟動
hawk# vi /usr/local/etc/rc.d/snort.sh
#!/bin/sh
case "$1" in
start)
/usr/local/bin/snort -Dqc /etc/snort/snort.conf > /dev/null && echo -n " snort"

stop)
kill `cat /var/run/snort_*.pid`

restart)
killall -1 `cat /var/run/snort_*.pid`

*)
echo "Usage: snort.sh [start|stop|restart]"

esac
不過建議是手動啟動,我在使用中發(fā)現(xiàn)自動啟動有一點問題,等系統(tǒng)完全啟動完了再啟動SNORT就一切正常 。
9)在mysql中建立數(shù)據(jù)庫
先建立SNORT使用的數(shù)據(jù)庫
mysql>create database snort;
mysql>grant INSERT,SELECT on root.* to snort@localhost;
mysql>quit;
進入snort安裝目錄:
mysql -p <./contrib/create_mysql snort
>Enter password:
安裝DB表:(在contrib目錄)
zcat snortdb-extra.gz | mysql -p snort
>Enter password:
安裝完成檢查一下表的顯示
mysql>show databases;
------------
| Database
------------
| mysql
| snort
| test
------------
3 rows in set (0.00 sec)
mysql>use snort;
mysql>show tables; 將會有這些:
------------------
| Tables_in_snort |
------------------
| data
| detail
| encoding
| event
| flags
| icmphdr
| iphdr
| opt
| protocols
| reference
| reference_system
| schema
| sensor
| services
| sig_class
| sig_reference

推薦閱讀