良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

Snort 用户手册

第一章 snort简介

   snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。

嗅探器

阅读全文...

常用的IP选项及其相应的识别号/etc/psad/ip_options

IP通信通常不使用IP首部中的选项部分,但iptables可以使用--log-ip-options命令行参数记录IP选项。如果iptables日志信息包含IP选项,psad将解析这些选项以便发现可疑行为,如源站选路企图。有些Snort规则定义了对IP选项的可疑用法,psad将参考/etc/psad/ip_options文件以便对iptables日志信息中的IP选项进行解码。该文件定义了常用的IP选项及其相应的识别号,其语法格式如下所示:

阅读全文...

搭建开源入侵检测系统Snort,并实现与防火墙联动

Snort作为一款优秀的开源网络入侵检测系统,在windows和Linux平台上均可安装运行。BT5作为曾经的一款经典的渗透神器,基于Ubuntu,里面已经预装很多的应用,比如Mysql、Apache、Snort等等。Guardian是snort的插件,通过读取snort报警日志将入侵IP加入到Iptables中。Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。

本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程。


阅读全文...