一、snort介绍

　　Snort是被设计用来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。Snort是一个免费的、跨平台的软件包，用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。它可以运行在linux/UNIX和Win32系统上，你只需要几分钟就可以安装好并可以开始使用它。

　　Snort的一些功能：

　　◆实时通讯分析和信息包记录

　　◆包装有效载荷检查

　　◆协议分析和内容查询匹配

　　◆探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试

　　◆对系统日志、指定文件、Unix socket或通过Samba的WinPopus 进行实时报警

　　Snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发/自由软件最重要的惯例，Snort支持各种形式的插件、扩充和定制，包括数据库或是XML记录、小帧探测和统计的异常探测等。

　　信息包有效载荷探测是Snort最有用的一个特点，这就意味着很多额外种类的敌对行为可以被探测到。

　　二、所需软件包的安装以及安装

　　下在所需要的软件包

　　1.libcap

　　http://www.mirrors.wiretapped.net/security/packet-capture/libpcap/libpcap-0.8.3.tar.gz

　　2.snort

　　http://www.snort.org/dl/snort-2.2.0.tar.gz

　　3.snort trules

　　http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz

　　4.openssl

　　http://www.openssl.org/source/openssl-0.9.7d.tar.gz

　　5.acid基于Web的入侵事件数据库分析控制台

　　http://acidlab.sourceforge.net

　　6.gd

　　http://www.boutell.com/gd/

　　7.adodb为ACID提供便捷的数据库接口；

　　http://php.weblogs.com/ADODB

　　8.phplot ACID所依赖的制图库；

　　http://www.phplot.com/

　　9.apache

　　http://www.apache.org

　　10.mysql

　　http://wwww.mysql.com

　　11.php(v>4.2)

　　http://www.php.net

　　开始安装：

　　1.安装MySQL，

　　#addgroup mysql

　　#adduser mysql

　　然后，以mysql身份登录，执行下列命令：

　　$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -

　　$cd mysql-3.23.49

　　$./configure

　　$make

　　$make install

　　2.安装openssl

　　#tar zxvf openssl*

　　#cd openssl

　　#./configure

　　#make

　　#make test

　　#make install

　　3.安装libpcap

　　#tar zxvf libpcap*

　　#cd libpcap-0.8.3

　　#./configure

　　如果出现：

　　configure: warning: cannot determine packet capture interface

　　configure: warning: (see INSTALL for more info)

　　说明需要编译系统内核，使其对CONFIG_PACKET支持

　　#make

　　#make install

　　4.安装snort

　　#tar zxvf snort*

　　#cd snort-2.2.0

　　#./configure --enable-flexresp --with-mysql=/usr/local/mysql --with-openssl=/usr/local/ssl

　　共3页: 1 下一页

　　【内容导航】

　　发表共 条 评价

　　我也说两句通行证： 密码： 注册通行证

　　评论共条

　　匿名发表

　　验证码： (如果看不清请点击图片进行更换)

　　主编信箱热线:010-66476606　告诉我们您想看的：专题文章

　　关于我们诚聘英才联系我们网站大事意见反馈网站地图

　　51CTO.COM

#make
#make install

#./configure --prefix=/usr/local/apache --enable-so
#make
#make install

#gzip -d -c gd-2.0.28.tar.gz | tar xvf -
#cd gd-2.0.28
#make
#make install

#gzip -d -c php-4.3.2.tar.gz | tar xvf -
#cd php-4.3.2
#./configure -with-mysql=/usr/local/mysql \
--with-apxs=/usr/local/apache/bin/apxs \
--with-gd=/usr/local
#make
#make install

#cd /www/ids/
#gzip -d -c adodb452.tar.gz | tar xvf -
#gzip -d -c phplot-5.0rc1.tar.gz | tar xvf -
#gzip -d -c acid-0.9.6b23.tar.gz | tar xvf -

$Dblib_path="../adodb"
$DBtype="mysql"
$alert_dbname="snort"
$alert_host="localhost"
$alert_port="3306"
$alert_user="root"
$alert_password="123"
$archive_dbname="snort"
$archive_host="localhost"
$archive_port="3306"
$archive_user="root"
$archive_password="123"
$ChartLib_path="../phplot"
$Chart_file_format="png"
$portscan_file="/var/log/snort/portscan.log"

# groupadd snort
# useradd -g "snort" -d "/home/snort" -s "/nonexists" -c "Snort User" snort

preprocessor portscan-ignorehosts: $DNS_SERVERS

# echo "CREATE DATABASE snort;" | mysql -u root -p
# grant INSERT,SELECT on snort.* to snort@localhost
然后在 Snort 的源始码內找到 "contrib/create_mysql"，再执行以下命令建立 Tables
# mysql -u root -p < create_mysql
完成后，別忘记在 snort.conf 中也要启动 MySQL 的支持，简单地 Uncomment 以下：
在454行：
output database: log, mysql, user=snort password=123 dbname=snort host=localhost
在493行：
ruletype redalert
{
type alert
output alert_syslog: LOG_AUTH LOG_ALERT
output database: log, mysql, user=snort dbname=snort host=localhost
}

#mkdir /var/log/snort
#chown snort.snort /var/log/snort
现在开始 cd 进入 /home/snort 內，然后打入这个命令：
/home/snort #snort -b -d -i eth0 -u snort -g snort -c /home/snort/rules/snort.conf -l /var/log/snort &