一、snort介紹
Snort是被設計用來填補昂貴的、探測繁重的網(wǎng)絡侵入情況的系統(tǒng)留下的空缺。Snort是一個免費的、跨平臺的軟件包,用作監(jiān)視小型TCP/IP網(wǎng)的嗅探器、日志記錄、侵入探測器。它可以運行在linux/UNIX和Win32系統(tǒng)上,你只需要幾分鐘就可以安裝好并可以開始使用它。
Snort的一些功能:
◆實時通訊分析和信息包記錄
◆包裝有效載荷檢查
◆協(xié)議分析和內(nèi)容查詢匹配
◆探測緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測、操作系統(tǒng)侵入嘗試
◆對系統(tǒng)日志、指定文件、Unix socket或通過Samba的WinPopus 進行實時報警
Snort有三種主要模式:信息包嗅探器、信息包記錄器或成熟的侵入探測系統(tǒng)。遵循開發(fā)/自由軟件最重要的慣例,Snort支持各種形式的插件、擴充和定制,包括數(shù)據(jù)庫或是XML記錄、小幀探測和統(tǒng)計的異常探測等。
信息包有效載荷探測是Snort最有用的一個特點,這就意味著很多額外種類的敵對行為可以被探測到。
二、所需軟件包的安裝以及安裝
下在所需要的軟件包
1.libcap
http://www.mirrors.wiretapped.net/security/packet-capture/libpcap/libpcap-0.8.3.tar.gz
2.snort
http://www.snort.org/dl/snort-2.2.0.tar.gz
3.snort trules
http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz
4.openssl
http://www.openssl.org/source/openssl-0.9.7d.tar.gz
5.acid基于Web的入侵事件數(shù)據(jù)庫分析控制臺
http://acidlab.sourceforge.net
6.gd
http://www.boutell.com/gd/
7.adodb為ACID提供便捷的數(shù)據(jù)庫接口;
http://php.weblogs.com/ADODB
8.phplot ACID所依賴的制圖庫;
http://www.phplot.com/
9.apache
http://www.apache.org
10.mysql
http://wwww.mysql.com
11.php(v>4.2)
http://www.php.net
開始安裝:
1.安裝MySQL,
#addgroup mysql
#adduser mysql
然后,以mysql身份登錄,執(zhí)行下列命令:
$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -
$cd mysql-3.23.49
$./configure
$make
$make install
|
2.安裝openssl
#tar zxvf openssl*
#cd openssl
#./configure
#make
#make test
#make install
|
3.安裝libpcap
#tar zxvf libpcap*
#cd libpcap-0.8.3
#./configure
|
如果出現(xiàn):
configure: warning: cannot determine packet capture interface
configure: warning: (see INSTALL for more info)
|
說明需要編譯系統(tǒng)內(nèi)核,使其對CONFIG_PACKET支持
#make
#make install
4.安裝snort
#tar zxvf snort*
#cd snort-2.2.0
#./configure --enable-flexresp --with-mysql=/usr/local/mysql --with-openssl=/usr/local/ssl
|
