第5章入侵检测技术.pptVIP

3．日志及报警子系统 一个好的NIDS，更应该提供友好的输出界面或发声报警等。Snort是一个轻量级的NIDS，它的另外一个重要功能就是数据包记录器，它主要采取用TCPDUMP的格式记录信息、向syslog 发送报警信息和以明文形式记录报警信息三种方式。 值得提出的是，Snort 在网络数据流量非常大时，可以将数据包信息压缩从而实现快速报警。 5.5.3 Snort的安装与使用 1.Snort安装模式 Snort可简单安装为守护进程模式，也可安装为包括很多其他工具的完整的入侵检测系统。 简单方式安装时，可以得到入侵数据的文本文件或二进制文件，然后用文本编辑器等工具进行查看。 Snort若与其它工具一起安装，则可以支持更为复杂的操作。例如，将Snort数据发送给数据库系统，从而支持通过Web界面进行数据分析，以增强对Snort捕获数据的直观认识，避免耗费大量时间查阅晦涩的日志文件。 2．Snort的简单安装 Snort的安装程序可以在Snort官方网站上获取。 （1）安装Snort Snort必须要有libpcap库的支持，在安装前需确认系统已经安装了libpcap库。 [root@mail snort-2.8.0]# ./configure --enable-dynamicplugin [root@mail snort-2.8.0]# make [root@mail snort-2.8.0]# make install （2）更新Snort规则 下载必威体育精装版的规则文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示必威体育精装版的版本号。 [root@mail snort]# mkdir /etc/snort [root@mail snort]# cd /etc/snort [root@mail snort]# tar zxvf /path/to/snortrules-snapshot-CURRENT.tar.gz （3）配置Snort 建立config文件目录： [root@mail snort-2.8.0]# mkdir /etc/snort 复制Snort配置文件snort.conf到Snort配置目录： [root@mail snort-2.8.0]# cp ./etc/snort.conf /etc/snort/ 编辑snort.conf： [root@mail snort-2.8.0]# vi /etc/snort/snort.conf 修改后，一些关键设置如下： var HOME_NET yournetwork var RULE_PATH /etc/snort/rules preprocessor http_inspect: global \ iis_unicode_map /etc/snort/rules/unicode.map 1252 include /etc/snort/rules/reference.config include /etc/snort/rules/classification.config （4）测试Snort # /usr/local/bin/snort -A fast -b -d -D -l /var/log/snort -c /etc/snort/snort.conf 查看文件/var/log/messages，若没有错误信息，则表示安装成功。 3．Snort的工作模式 Snort有三种工作模式，即嗅探器、数据包记录器、网络入侵检测系统。 （1）嗅探器 所谓的嗅探器模式就是Snort从网络上获取数据包然之后显示在控制台上。若只把TCP/IP包头信息打印在屏幕上，则只需要执行下列命令： ./snort -v 若显示应用层数据，则执行： ./snort -vd 若同时显示数据链路层信息，则执行： ./snort -vde （2）数据包记录器 如果要把所有的数据包记录到硬盘上，则需要指定一个日志目录，Snort将会自动记录数据包： ./snort -dev -l ./log 如果网络速度很快，或者希望日志更加紧凑以便事后分析，则应该使用二进制日志文件格式。使用下面的命令可以把所有的数据包记录到一个单一的二进制文件中： ./snort -l ./log -b （3）网络入侵检测系统 通过下面命令行，可以将Snort启动为网络入侵检测系统模式： ./snort -dev -l ./log -h /24 -c snort.conf snort.co