snortcenter的安装
下载
解压后放在web目录下
修改config.php
Snort 用户手册
第一章 snort简介
snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
嗅探器
snort2.9.6.2+barnyard2+ACID的安装、使用
Centos6.4 64位,snort版本是2.9.6.2
Acid+Adodb+Jpgraph, ACID(Analysis Console for Incident Databases)是snort使用的标准分析员控制台软件
snort安装、配置及报错解决
官网下载:
https://www.snort.org/#documents
wget https://www.snort.org/downloads/snort/daq-2.0.2.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.6.2.tar.gz
ERROR! dnet header not found, go get it from
报错:
ERROR! dnet header not found, go get it from
http://code.google.com/p/libdnet/ or use the --with-dnet-*
options, if you have it installed in an unusual place
ERROR! Libpcap library version >= 1.0.0 not found.
安装daq
tar xvfz daq-2.0.2.tar.gz
常用的IP选项及其相应的识别号/etc/psad/ip_options
IP通信通常不使用IP首部中的选项部分,但iptables可以使用--log-ip-options命令行参数记录IP选项。如果iptables日志信息包含IP选项,psad将解析这些选项以便发现可疑行为,如源站选路企图。有些Snort规则定义了对IP选项的可疑用法,psad将参考/etc/psad/ip_options文件以便对iptables日志信息中的IP选项进行解码。该文件定义了常用的IP选项及其相应的识别号,其语法格式如下所示:
psad为触发指定Snort规则的任何IP地址自动设置危险级别的配置/etc/psad/snort_rule_dl
与/etc/psad/auto_dl文件类似,snort_rule_dl文件告诉psad为触发指定Snort规则的任何IP地址自动设置危险级别。这个文件的语法如下所示:
sid 危险级别
/etc/psad/signatures
用层测试--fwsnort则运行应用层测试。下面列出了来自该文件中的一个规则:
