ubuntu15 10下Snort安裝及配置

一、工作模式及原理

二、工作工程

預處理

a、snort通過在網路tcp/ip的第5層結構的資料鏈路層進行抓取網路資料報；

b、將捕獲的資料報送到包解碼器進行解碼。網路中的資料報有可能是乙太網包、令牌環包、tcp/ip包c 802.11包等格式。在這一過程包解碼器將其解碼成snort認識的統一的格式；

c、將資料報送到預處理器進行處理，預處理包括能分片的資料報進行重新組裝，處理一些明顯的錯誤等問題；

處理:規則的建立及根據規則進行檢測

規則檢測是snort中最重要的部分，作用是檢測資料報中是否包含有入侵行為。處理規則檔案的時候，用三維鍊錶來存規則資訊以便和後面的資料報進行匹配，三維鍊錶一旦構建好了，就通過某種方法查詢三維鍊錶並進行匹配和發生響應。規則檢測的處理能力需要根據規則的數量，執行snort機器的效能，網路負載等因素決定.

輸出經過檢測後的資料報需要以各種形式將結果進行輸出，輸出形式可以是輸出到alert檔案、其它日誌檔案、資料庫unix域或socke

三、安裝

四、執行

五、分析

六、參考文獻

官網教程

snort中文手冊

在ubuntu 15.04中如何安裝和使用snort (有非常詳細的步驟，指令碼就來自於這篇文章)

linux 下snbort-2.9.22安裝詳解

snort使用手冊，第二部分：配置

七、附件

#snrot_copy_rule.sh #引用自： #nort源**的路徑 snort_src="/home/name/workspace/snort/snortrules-snapshot-2980" echo "adding group and user for snort..." groupadd snort &> /dev/null useradd snort -r -s /sbin/nologin -d /var/log/snort -c snort_idps -g snort &> /dev/null #snort configuration echo "configuring snort..." mkdir -p /etc/snort mkdir -p /etc/snort/rules touch /etc/snort/rules/black_list.rules touch /etc/snort/rules/white_list.rules touch /etc/snort/rules/local.rules mkdir /etc/snort/preproc_rules mkdir /var/log/snort mkdir -p /usr/local/lib/snort_dynamicrules chmod -r 775 /etc/snort chmod -r 775 /var/log/snort chmod -r 775 /usr/local/lib/snort_dynamicrules chown -r snort:snort /etc/snort chown -r snort:snort /var/log/snort chown -r snort:snort /usr/local/lib/snort_dynamicrules ###copy configuration and rules from etc directory under source code of snort echo "copying from snort source to /etc/snort ....." echo $snort_src echo "-------------" cp $snort_src/etc/*.conf* /etc/snort cp $snort_src/etc/*. map /etc/snort ##enable rules sed -i 's/include \$rule\_path/#include \$rule\_path/' /etc/snort/snort.conf

echo "---done---"

ubuntu15 10下Snort安裝及配置

Ubuntu15 10安裝小結

使用root賬戶登入ubuntu 15 10

ubuntu15 10安裝mysql資料庫

ubuntu15 10下Snort安裝及配置

Ubuntu15 10安裝小結

使用root賬戶登入ubuntu 15 10

ubuntu15 10安裝mysql資料庫

相關推薦