入侵检测技术【在CentOS7配置Snort】

在 CentOS 7 下配置 Snort2.9 以及使用

先安装依赖文件

yum -y install epel-release              //需要epel源
yum -y install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump
yum -y install nghttp2
yum -y install glibc-headers g++         //后面安装ilbdnet-1.11.tar.gz需要
yum -y install openssl openssl-devel     //后面安装snort 2.9时需要

下载单独文件

在文章最后有下载地址

wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz
wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.17.1.tar.gz

wget http://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz

解压五个压缩包

tar -zxvf libdnet-1.11.tar.gz
tar -zxvf libpcap-1.9.0.tar.gz

tar -zxvf daq-2.0.7.tar.gz
tar -zxvf snort-2.9.17.1.tar.gz

tar -zxvf LuaJIT-2.1.0-beta3.tar.gz

编译安装顺序

#先进入 libpcap-1.9.0 目录
./configure
make && make install

#然后进入 libdnet-1.11目录
./configure
make && make install

#接着进入 daq-2.0.7目录
./configure
make && make install

#再然后进入 LuaJIT-2.1.0-beta3目录
cd src
make
cd ..    //返回上一层
make install

#最后进入snort-2.9.17.1目录
./configure --enable-sourcefire
make && make install

最后直接执行snort执行,不报错并持续输出即为成功安装

QQ图片20210524173333.png

对snort进行配置

添加用户和组

#新添加一个Snort组
groupadd -g 40000 snort

#将Snort用户加入Snort组,并且不允许登录系统
useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
 新建目录/var/log/snort并设置其属性 
mkdir /var/log/snort
chown –R snort:snort /var/log/snort

配置snort

#新建目录/etc/snort/
mkdir /etc/snort/ 
cd /etc/snort

#下载规则文件并解压,将其中的.map复制到/etc/snort 目录下
cp sid-msg.map /etc/snort

#将下载的Snort压缩包解压缩后复制到/etc/snort/目录下
#我存放snort的目录为/source
cp /source/snort-2.9.17.1/etc/* /etc/snort

# 设置当前目录下所有文件的属主。
cd /etc/snort
chown -R snort:snort *

#新建黑白名单规则文件
touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
#如果目录不存在,记得创建目录

编辑配置文件snort.conf,修改以下几行的内容

设置网络变量,将第45行的ipvar HOME_NET any改为ipvar HOME_NET 192.168.x.x网段,并写成CIDR格式。也可以添加多个网段。
ipvar HOME_NET [192.168.0.0/16,172.16.0.0/16]
第104行 var RULE_PATH ../ruls 改为 var RULE_PATH /etc/snort/rules
第105行 var SO_RULE_PATH ../so_rules 改为var SO_RULE_PATH /etc/snort/so_rules
第106行 var PREPROC_RULE_PATH ../preproc_rules 改为 var PREPROC_RULE_PATH/etc/snort/ preproc_rules
第113行 var WHITE_LIST_PATH ../rules 改为 var WHITE_LIST_PATH /etc/snort/rules
第114行 var BLACK_LIST_PATH ../rules 改为 var BLACK_LIST_PATH /etc/snort/rules

# 设置日志保存路径。
config logdir:/var/log/snort/
# 配置输出插件。
Snort可通过数据库插件(spo_database.c和spo_database.h)将预处理器输出的日志写入数据库,但下面的配置一方面将报警写入alert文件,另一方面将预处理器输出的日志写入到unified2格式的二进制文件中,以供Barnyard2读取使用。
将第521行修改成如下内容:
output unified2:filename snort.log,limit 128

#注意不需要的rules需要注释或者删除
#在vi中的查找命令,在命令模式下输入“/”+“要查找的内容”,例如“/logdir”回车即可

新建目录snort_dynamicrules并设置权限

mkdir -p /usr/local/lib/snort_dynamicrules
chown -R snort:snort /usr/local/lib/snort_dynamicrules
chmod -R 755 /usr/local/lib/snort_dynamicrules

# 在/usr/sbin/目录下新建名为Snort的软链接文件。
cd /usr/sbin
ln -s /usr/local/bin/snort snort

添加测试规则

# 编辑 rules文件
vi /etc/snort/rules/local.rules

# 加入如下内容:
alert icmp any any -> $HOME_NET any (msg:"ICMP Packet Detected";sid:1000003;rev:1;)

测试snort

snort -T -i ens33 -u snort -g snort -c /etc/snort/snort.conf
#要注意配置的网卡是不是ens33

如果配置正确,则系统启动后显示如下内容

QQ图片20210524183727.png

如出现“Snort successfully validated the configuration!”的提示,则表示安装配置成功。

用ping命令测试

用ping命令进行测试的目的是为了产生报警。ping命令使用ICMP协议,在IDS中使用Libpcap函数所捕获的也是ICMP数据包。下面在Snort主机上操作:

snort -i ens33 -c /etc/snort/snort.conf -A fast
 与此同时,用另一台主机进行ping操作,日志文件记录在/var/log/snort/alert和/var/log/snort/snort.log中

  QQ图片20210524185605.png


#转载请注明出处!
daq-2.0.7
类型:压缩文件|已下载:5|下载类型:免费下载
立即下载
LuaJIT-2.1.0-beta3
类型:压缩文件|已下载:3|下载类型:免费下载
立即下载
libdnet-1.11
类型:压缩文件|已下载:3|下载类型:免费下载
立即下载
libpcap-1.9.0
类型:压缩文件|已下载:3|下载类型:免费下载
立即下载
snort-2.9.17.1
类型:压缩文件|已下载:4|下载类型:免费下载
立即下载
安装文件集合
类型:压缩文件|已下载:5|下载类型:免费下载
立即下载
快来制作你的简历吧 ,请猛戳这里→点击在线制作
宝塔服务器面板,一键全能部署及管理,送你3188元礼包。请猛戳这里→点我领取

本文标题:《入侵检测技术【在CentOS7配置Snort】》作者:xuanzhe
原文链接:https://blog.xuanzhe.club/?id=51
特别注明外均为原创,转载请注明。

分享到微信

扫描二维码

可在微信查看或分享至朋友圈。

相关文章

发表评论:
验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

你好,朋友

真是美好的一天!

访客信息

  • IP: 52.90.49.108
  • 地点: United StatesVirginiaAshburn

毒鸡汤

  • API可调用次数不足...请尝试检查插件设置的APIKEY
  • 英语小句子

  • 木有了,杯具了...请尝试检查插件设置的APIKEY
  • 标签列表

    站点信息

    • 文章总数:48
    • 页面总数:2
    • 分类总数:15
    • 标签总数:22
    • 评论总数:6
    • 浏览总数:20147
    您好,欢迎到访网站!
    忘记密码

    精美句子

  • 木有了,杯具了...请尝试检查插件设置的APIKEY
  • 网站分类

    文章归档

    歌曲 - 歌手
    0:00