Snort入侵檢測系統部署與測試

Snort入侵檢測系統部署與測試

                                                                   ----作者：小遲 日期：2007.3.6

測試環境RH Enterprise AS3、4

一、安裝Snort：

1）先安裝pcre目錄裡的pcre-7.0.tar.gz

方法：

tar zxvf pcre-7.0.tar.gz

cd  pcre-7.0

./configure

make

make install

2）安裝snort-2.4.2.tar.gz

方法同上

3）解壓Snort規則包snortrules-pr-2.4.tar.tar

方法tar zxvf snortrules-pr-2.4.tar.tar

4）安裝Snort插件snortsam-src-2.50.tar.tar

方法同1）

以上安裝好後執行：

mkdir /etc/snort

mkdir /var/log/snort

cp /chameleon/Snort/snort-2.4.2/etc/snort.conf /etc/snort

cp /chameleon/Snort/snort-2.4.2/etc/*.map /etc/snort

cp /chameleon/Snort/snort-2.4.2/etc/*.config /etc/snort

mkdir /chameleon/Snort/snort-2.4.2/rules/

cp /chameleon/Snort/snort-2.4.2/rules/*.rules /etc/snort

以上根絕個人安裝目錄不同可作适當修改

二、修改配置檔案：

vi /etc/snort/snort.conf

修改其中規則路徑：

var RULE_PATH /etc/snort

三、啟動snort:

背景啟動：

snort -c /etc/snort/snort.conf -D

我們可以用ps -aux|grep snort來看一下Snort是否成功啟動了

啟動成功

四、測試snort：

在運作Snort的主機上執行tail -f /var/log/snort/alert指令實時檢視警告日志：

然後我在另一台機器上用hping2工具，也可以直接用ping指令來測試：

hping2 -x 運作snort主機的ip   或  ping 運作snort主機的ip

注意看了，他的日志在不斷記錄着，當我停止後他就沒再記錄了

這是會看到alert日志不聽的告警，如下：

[**] [1:368:6] ICMP PING BSDtype [**]

[Classification: Misc activity] [Priority: 3]

03/06-10:28:39.272055 218.206.116.41 -> 192.168.1.7

ICMP TTL:55 TOS:0x0 ID:8 IpLen:20 DgmLen:84 DF

Type:8  Code:0  ID:32882   Seq:8  ECHO

[**] [1:366:7] ICMP PING *NIX [**]

[**] [1:384:5] ICMP PING [**]

03/06-10:28:40.281751 218.206.116.41 -> 192.168.1.7

ICMP TTL:55 TOS:0x0 ID:9 IpLen:20 DgmLen:84 DF

Type:8  Code:0  ID:32882   Seq:9  ECHO