Cum se instalează și configurați Snort în Linux în 5 pași simpli

Posted on by admin

Snort este un ușor sistem de detectare a intruziunilor gratuite pentru Unix și Windows.

În acest articol, vom face Revedeți cum să instalați Snort de la început, să scrieți reguli și să efectuați teste de bază.

Descărcați și extrageți snort

Trebuie să descărcați cea mai recentă versiune gratuită a site-ului Snort. Apoi extrage codul sursă Snort în directorul / USR / SRC, după cum se arată mai jos.

DIV ID = „D1B65FFA9C”>

iv id = „

div id =” 069349Fed8 „069349FD8” 069349FED8 „

2

# CD / usr / src
# wget -o snort-2.8.6.1.tar .gz http://www.snort.org/downloads/116
# gard xvzf snort-2.8.6.1.tar.gz

Install snort

Înainte de a instala snort, asigurați-vă că aveți pachetele de dezvoltare libpcap și libpcre.

iv id = „19E748E4E0”

1
2
3
4
8
9

td>

# apt-cache politică libpcap0.8-dev
libpcap0.8-dev:
instalat: 1.0 .0-2ubuntu1
candidat: 1.0.0-2ubuntu1
# apt-cache politică libpcre3-dev
libpcre3-dev:
instalat: 7.8- 3
candidat: 7.8-3

div id = „d4ec0d038f”

Trebuie să urmați următorii pași pentru a instala snort.

iv id = „81437bf905”

iv id = „d4ec0d038f”

vede Rificați instalarea snort

Trebuie să verificați instalarea după cum se arată mai jos.

DIV ID = „D1B65FFA9C”>

1
4

# cd snort-2.8.6.1
# ./configure
# face
# face instalare

# snort-versiune
,, _ – * > snort! < * –
sau „) ~ versiunea 2.8.6.1 (construi 39)
” ‘de Martin Roesch & Echipa Snort: http://www.snort.org/snort/snort-team
Drepturi de autor (C) 1998-2010 Sourcefire, Inc., colab.
Utilizarea versiunii PCRE: 7.8 2008-09-05

Creați fișierele și directoarele necesare.

Trebuie să creați fișierul de configurare, fișierul de reguli și directorul de înregistrare.

Trebuie să creați următoarele directoare:

div id = „19E748E4E0”
3
3
4

Apoi trebuie create următoarele fișiere Snort.conf și ICMP.rux:

iv id = „

iv id = „069349Fed8”

Alerta anterioară de bază a regulii când Există un pachet ICMP (Ping).

iv id = „81437BF905 „

CC3DA1FBD8″>

iv id =” 19E748E4E0 „
1
4

/ td >

# mkdir / etc / snort
# mkdir / etc / snort / reguli
# mkdir / Var / log / snort

1
2
3

td>

td>

# cat /etc/snort/snort.conf
includ /etc/snort/rues/ichmp.rurilor
# cat /etc/snort/rules/icmp.rurilor
Alertă ICMP Orice orice – > Orice orice (MSG: „Pachetul ICMP”; SID: 477; Rev: 3;)

div>

Tabla: estructura de regla y ejemplo

1

div id = „6dd8fc6332”

Acțiuni de reguli > iv id = „6dd8fc6332”

Protocolul > < sursă adresa IP >

portul sursă > iv id = „6dd8fc6332”

direcție operator >

< Adresa IP de destinație > iv id = „6dd8fc6332”

destinație > (Opțiuni de regulă)

iv id = „2677472792”

ejemplo

Ejemplo

Ejemplo

Ejemplo

iv id = „2677472792”

protocol

iv id = „2677472792”

Port sursă

<3677472792">

Destinație Adresa IP

iv id = „2677472792”

orice

port de destinație

ejecutar snort

ejecuta Snort Desde La Línea de Comandos, Como Se veación.

DIV ID = „D1B65FFA9C”> 81437BF905 „>

CC3DA1FBD8 „>

acțiuni de regulă Alertă
icmp
sursă Adresă IP
direcție operator

orice
(msg : „Pachet ICMP”; SID: 477; Rev: 3;)

iv id = „d4ec0d038f”

Ahora Intent Her Ping a Alguna IP de TU Máquina, Para Verificiu Nuestra Regla de Ping. EL SIGUIENTE ES EL EJEMPLO DE UNA ALERTA DE SNORT PANT ESTA REGLA ICMP.

iv id = „81437BF905”

# snort -c /etc/snort/snort.conf -l / var / log / snort / / div>
1
3
3
4
5
6

# cap / var / log / snort / alert
icmp pachet
07 / 27-20: 41: 57.230345 > l / l l ln: 0 l / l Tip: 0x200 0: 0: 0: 0: 0: 0
PKT Tip: 0x4 Proto: 0x800 LEN: 0x64
209.85.231.102 – >

Tipul: 8 Cod: 0 ID: 24905 SEQ: 1 ECHO

Explición De Alertas
SE Congil ONU PARL DE LÍNEAS PADA CADA ALERTA, QUE INCLUYE LO SIGUIENTE:

  • EL MENSAJE se imprime en La Primera Línea.
  • IP de Orige

Si Tienene Interfaz Diferente Para La Conexión de Red, Statele Unite ale Americii La Opción -Dev -i. En este ejemplo, mi interfaz de roșu es ppp0.

iv id = „81437bf905”

div id id = „069349Fed8”

1

# snort -dev -i ppp0 -c /etc/snort/snort.conf -l / var / log / snort /

div id = „d4ec0d038f” >

div id =” 39b452facb „

iv id = „

div id = „d4ec0d038f”

El Arhivo de Configuratión Predeterminado Estará Disponibil RO Snort-2.8.6.1 / etc / Snort.Conf

  • Reguli implicite pot fi descărcate de la: http://www.snort.org/snort-rules

    • Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

    iv id =” 19E748E4E0 „
    1

    		iv id = „a072Aedbb6”
    # snort -d -c /etc/snort/snort.conf -l / var / log / snort /