IDS使用规则

ids入侵检测系统

Snort(基于特征的入侵检测系统)

软硬件配套

snort官网链接:Snort - Network Intrusion Detection & Prevention System(https://www.snort.org)

环境:centos7,拖动需要开共享粘贴板和开双向

一、daq

1、预装dap所需程序

yum install -y gcc flex bison zilb libpcap pcre libdnet tcpdump(安装软件程序)

2、输入命令下载依赖工具

yum install -y zlib-devel libpcap-devel pcre-devel libdnet-devel openssl-devel libnghttp2-devel luajit-devel

3、输入命令查找daq包 wget https://www.snort.org/downloads/snort/daq-2.0.6..tar.gz

下载地址:snghchandan/snort: snort all files (github.com)(这个压缩好像坏了)

rbshadow/snort-2.9.9.0: Unofficial Repository of Snort (github.com)

4、解压文件 tar -xzvf daq-2.0.6.tar..gz

进入daq目录里边 cd daq-2.0.6/

编译安装 ./configure

make

make install

二、安装snort

下载地址:wget https://snort.org/downloads/snort/snort-2.9.9.0.tar.gz

1、tar -xvzf snort-2.9.9.0.tar.gz

cd snort-2.9.9.0/

./configure

make

make install

2、snort -v 检查有无安装成功

出现此页面说明开源ids已安装成功

3、snort配置

①mkdir -p /etc/snort/rules

mkdir /usr/local/lib/snort_dynamicrules

最好检查一下

4、将snort中的配置文件复制到上边的snort下

snort-org-site.s3.amazonaws.com

5、下载社区规则并解压到目录(官网可找),复制到rules中,进行解压

tar -xzvf community-rules.tar.gz

解压后把文件移动到rules下,删除压缩和解压文件

6、打开终端依次输入命令,启动社区文件

① echo ''>>/etc/snort/snort.conf

echo '# enable community rule'>>/etc/snort/snort.conf

echo 'include $RULE_PATH/community-rules/community.rules'>>/etc/snort/snort.conf

sed -i 's/var RULE_PATH..\/rules/var RULE_PATH.\/rules/' /etc/snort/snort.conf

sed -i 's/var WHITE_LIST_PATH..\/rules/var WHITE_LIST_PATH.\/rules/' /etc/snort/snort.conf

sed -i 's/var BLACK_LIST_PATH..\/rules/var BLACK_LIST_PATH.\/rules/' /etc/snort/snort.conf

7、创建白黑名单文件

touch /etc/snort/rules/white_list.rules

touch /etc/snort/rules/black_list.rules

8、创建自己默认的规则

touch /etc/snort/rules/local.rules

9、注释掉所有要加载的规则文件

sed -i 's/include \RULE\\_PATH/#include \\RULE\_PATH/' /etc/snort/snort.conf

10、测试文件配置

snort -T -c /etc/snort/snort.conf

配置思路就是这样

我在使用命令时可能有地方错误输入了,导致找不到我的white_list.rules文件,需要进入配置文件

修改配置项../rules的路径为../snort/rules

方式:

①sudo vim /etc/snort/snort.conf

/搜索 white_list.rules,修改为上述路径

②snort -T -c /etc/snort/snort.conf 再次查看

11、规则写入

①在snort.conf中文件末尾添加以下数据

include $RULE_PATH/local.rules

#include $RULE_PATH/black.list.rules

#include $RULE_PATH/white_list.rules

保存关闭退出

12、安装xampp

①wget https://www.apachefriends.org/xampp-files/8.1.6/xampp-linux-x64-8.1.6-0installer.run --no-check-certificate

下载链接:Download xampp-linux-x64-8.1.6-0-installer.run (XAMPP) (sourceforge.net)

②修改权限

将文件放在local下比较方便(我下8.1.6有问题,文件应该有损坏,官网的)

chmod 777 xampp-linux-x64-8.1.6-installer.run

./xampp-linux-x64-8.1.6-0-installer.run

可能由于网络原因,多尝试几次(不同时间点),我同样的命令,下午不行,晚上就可以了,同一个命

令。离谱。

集成apache创建网站的工具

打开服务

查看有无安装成功xampp

注意端口占用情况,打开火狐浏览器,访问localhost,如下所示,成功安装

在configure可以修改端口号,防止和已有的服务发生冲突,restart重启生效

③在opt/lampp/htdocs 新建test.html文件,代码如下,测试程序,访问浏览器localhost/test.html

<!DOCTYPE html>

<html>

<head>

<meta charset="utf-8">

<title>test</title>

</head>

<body>

<h1>successful</h1>

<p></p>

</body>

</html>

效果如下:

关闭防火墙centos;systemctl stop firewalld.service

注意:否则你的实体机是访问不到你的虚拟机的网址的(测试ping可以)

④书写ids规则

打开主文件夹/etc/snort/rules/local.rules文件,输入如下

alert tcp![192.168.129.136] any ->192,.168.129.136 8888(logto:"task1";msg:"this is task 1";sid:100001)

说明:alert 表示是一个警告,tcp表示检测所有使用tcp协议的包,http协议是tcp/ip协议的一部分,下面的一部分表示的是源ip地址,!除本机外所有,不管那个端口发送的包都需要检测 ->源到目的

括号中的规则选项部分,!ggk,表示将产生的信息记录到文件,msg 表示在屏幕上打印一个信息,sid表示一个规则编号,如果不在规则中编写这个编号,则执行过程中会出错,而且这个编号是唯一的能够标识一个规则的凭证1000000 以上用于用户自行编写的规则。

创建警报日志生成目录位置

/var/log/snort 没有就创建snort文件夹

⑤打开终端输入命令

snort -dv -l /var/log/snort -h 192.168.129.136 -c /etc/snort/snort.conf

根据运行提示,修改报错信息

此时完成设置

查看var/log/snort文件下两个文件都为空,再次利用宿主机访问此虚拟机查看变化

这里好像有点问题,后期再过来调一下(这里不抓包,可能是网卡设置的原因,暂时没跳出来)

正常如下所示:

想了解更多建议去snort官网

链接地址:Snort - Network Intrusion Detection & Prevention System

一、daq

二、安装snort


相关推荐
Warren9829 分钟前
Lua 脚本在 Redis 中的应用
java·前端·网络·vue.js·redis·junit·lua
NEXU53 小时前
Linux:套接字
linux·服务器·网络
我不要放纵4 小时前
docker
运维·docker·容器
morliz子轩4 小时前
基于WSL搭建Ubuntu 22.04.x LTS开发环境
linux·运维·ubuntu
BJ_Bonree5 小时前
数智先锋 | 告别运维黑盒!豪鹏科技×Bonree ONE构建全栈智能可观测体系
运维·科技
Janspran5 小时前
嵌入式linux学习 -- 进程和线程
linux·运维·学习
FreeBuf_5 小时前
CERT/CC警告:新型HTTP/2漏洞“MadeYouReset“恐致全球服务器遭DDoS攻击瘫痪
服务器·http·ddos
Cosmoshhhyyy6 小时前
linux远程部署dify和mac本地部署dify
linux·运维·macos
观北海7 小时前
网络安全蓝队常用工具全景与实战指南
安全·web安全
monster_风铃7 小时前
华为实验 链路聚合
网络·华为