ch5-入侵检测技术.pptVIP

2．Snort的简单安装 Snort的安装程序可以在Snort官方网站上获取。 （1）安装Snort Snort在linux平台上必须要有libpcap库的支持，在安装前需确认系统已经安装了libpcap库。 [root@mail snort-2.8.0]# ./configure --enable-dynamicplugin [root@mail snort-2.8.0]# make [root@mail snort-2.8.0]# make install 返回本章首页 （2）更新Snort规则 下载必威体育精装版的规则文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示必威体育精装版的版本号。 [root@mail snort]# mkdir /etc/snort [root@mail snort]# cd /etc/snort [root@mail snort]# tar zxvf /path/to/snortrules-snapshot-CURRENT.tar.gz 返回本章首页 （3）配置Snort 建立config文件目录： [root@mail snort-2.8.0]# mkdir /etc/snort 复制Snort配置文件snort.conf到Snort配置目录： [root@mail snort-2.8.0]# cp ./etc/snort.conf /etc/snort/ 编辑snort.conf： [root@mail snort-2.8.0]# vi /etc/snort/snort.conf 修改后，一些关键设置如下： var HOME_NET yournetwork var RULE_PATH /etc/snort/rules preprocessor http_inspect: global \ iis_unicode_map /etc/snort/rules/unicode.map 1252 include /etc/snort/rules/reference.config include /etc/snort/rules/classification.config 返回本章首页 （4）测试Snort # /usr/local/bin/snort -A fast -b -d -D -l /var/log/snort -c /etc/snort/snort.conf 查看文件/var/log/messages，若没有错误信息，则表示安装成功。 返回本章首页 3．Snort的工作模式 Snort有三种工作模式，即嗅探器、数据包记录器、网络入侵检测系统。 （1）嗅探器 所谓的嗅探器模式就是Snort从网络上获取数据包然之后显示在控制台上。若只把TCP/IP包头信息打印在屏幕上，则只需要执行下列命令： ./snort -v 若显示应用层数据，则执行： ./snort -vd 若同时显示数据链路层信息，则执行： ./snort -vde 返回本章首页 （2）数据包记录器 如果要把所有的数据包记录到硬盘上，则需要指定一个日志目录，Snort将会自动记录数据包： ./snort -dev -l ./log 如果网络速度很快，或者希望日志更加紧凑以便事后分析，则应该使用二进制日志文件格式。使用下面的命令可以把所有的数据包记录到一个单一的二进制文件中： ./snort -l ./log -b 返回本章首页 （3）网络入侵检测系统 通过下面命令行，可以将Snort启动为网络入侵检测系统模式： ./snort -dev -l ./log -h /24 -c snort.conf snort.conf是规则集文件。Snort会将每个包和规则集进行匹配，一旦匹配成功就会采取响应措施。若不指定输出目录，Snort就将日志输出到/var/log/snort目录。 返回本章首页 5.4.4 Snort的安全防护 为保护Snort系统的运行安全，必须采取一些必要的安全防护措施，主要包括： 加固运行Snort系统的主机 在隐秘端口上运行Snort 在不配置IP地址的接口上运行Snort 返回本章首页 5.5 入侵防护系统IPS 入侵防护系统IPS是IDS技术进一步发展的产物，是一种综合了防火墙、IDS、漏洞扫描与评估等安全技术。 IPS部署在网络的进出口处，当检测到攻击企图后，自动地将攻击包丢掉或采取措施将攻击源阻断，使攻击包无法到达目标，从而避免攻击事件的发生。 返回本章首页 IPS的优势