2.1 Snort 安裝方案
Snort的安裝方式要取決于運(yùn)行環(huán)境�,下面列舉了一些典型的安裝方案以供參考,你可以根據(jù)你的網(wǎng)絡(luò)情況進(jìn)行選擇���。
2.1.1 測(cè)試安裝
簡單安裝只包括一個(gè)Snort探測(cè)器。Snort將數(shù)據(jù)記錄到文本文件中�。日志文件供Snort管理員隨后察看。由于這種方式在實(shí)際應(yīng)用中分析日志的成本比較高因此僅適合測(cè)試環(huán)境��。要用這種方式安裝Snort����,你可以在http://www.取得編譯好的版本。對(duì)RedHat Linux來說���,你可以下載RPM包����。對(duì)Windows系統(tǒng)���,你可以下載可執(zhí)行文件安裝到你的系統(tǒng)上��。
2.1.2 安裝單探測(cè)器的應(yīng)用IDS
單探測(cè)器的Snort可應(yīng)用安裝適合只有一條Internet線路的小型網(wǎng)絡(luò)�����。將探測(cè)器放在路由器或者防火墻的后面��,以檢測(cè)進(jìn)入系統(tǒng)的入侵者��。不過要是你對(duì)所有的Internet流量感興趣��,你也可以將傳感器放在防火墻的外面�。
在這種安裝方式中,你可以從Snort網(wǎng)站http://www.下載編譯好的版本�����,也可以下載源代碼根據(jù)自己的要求編譯�����,以取得自己需要的特征�,這種要求在編譯好的版本中是做不到的。Snort的編譯步驟將在本章詳細(xì)討論�。
在 應(yīng)用系統(tǒng)安裝中,也可以讓Snort實(shí)現(xiàn)自動(dòng)啟動(dòng)和關(guān)閉����,這樣Snort在系統(tǒng)啟動(dòng)是可以自動(dòng)啟動(dòng)。如果你在Linux中安裝編譯好的版本���,RPM包會(huì)幫 你做到這一點(diǎn)�����。在Windows系統(tǒng)中�,你可以將Snort作為服務(wù)來啟動(dòng)或者放在啟動(dòng)組的批處理文件中。Windows相關(guān)的問題將在第8章涉及��。日志 將紀(jì)錄為文本文件或者二進(jìn)制文件�����,并用類似于SnortSnarf的工具分析數(shù)據(jù)���。SnortSnarf將在第6章中詳細(xì)討論。
2.1.3 單探測(cè)器與網(wǎng)管系統(tǒng)的整合
在應(yīng)用系統(tǒng)中��,你可以將Snort配置成向網(wǎng)管系統(tǒng)發(fā)送trap�。在企業(yè)應(yīng)用中,有很多種網(wǎng)管系統(tǒng)在應(yīng)用���。最常見的商業(yè)網(wǎng)管系統(tǒng)公司有惠普�����、IBM�、Computer Associates等。
Snort利用SNMP trap整合到網(wǎng)管系統(tǒng)中���。當(dāng)你看完本章的Snort編譯步驟后�,就會(huì)了解Snort是怎樣提供SNMP能力的�����。第4章將介紹更多的關(guān)于配置SNMP trap目標(biāo)����、community名稱等更多的信息。
2.1.4 帶有數(shù)據(jù)庫和web界面的單探測(cè)器
Snort最通常的用法是與數(shù)據(jù)庫的整合�����。數(shù)據(jù)庫用來記錄日志����,并可以隨后通過web界面訪問。這種安裝的典型設(shè)置包含3個(gè)基本的部件:
Snort 探測(cè)器
數(shù)據(jù)庫服務(wù)器
web服務(wù)器
Snort將日志記錄到數(shù)據(jù)庫中���,你可以通過連接到它的web瀏覽器察看這些數(shù)據(jù)���。這種方案可以參見第1章的圖1-1���。所有3個(gè)部件也可以安裝在同一個(gè)系統(tǒng)上,如第1章的圖1-2所示��。
Snort可以用不同類型的數(shù)據(jù)庫�,如MySQL,PostgresSQL,Oracle,Microsoft SQL Server和其他ODBC兼容的數(shù)據(jù)庫。PHP用來在數(shù)據(jù)庫中獲取數(shù)據(jù)����,并產(chǎn)生頁面�����。
這樣的安裝提供給你一個(gè)易于管理的功能全面的IDS��,并具有友好的用戶界面����。為了使你能夠用數(shù)據(jù)庫記錄日志,你必須給Snort提供數(shù)據(jù)庫的用戶名稱��、密 碼���、數(shù)據(jù)庫名稱和數(shù)據(jù)庫服務(wù)器的地址��。在單探測(cè)器方案中�����,如果數(shù)據(jù)庫服務(wù)器就安裝在運(yùn)行傳感器的機(jī)器上�,你可以用“localhost”作為主機(jī)名。你在 編譯Snort時(shí)就要選擇記錄數(shù)據(jù)庫的功能����,這一點(diǎn)將在本章的后面詳細(xì)描述。Snort使用數(shù)據(jù)庫的配置將在第4�、5、6章討論����。
2.1.5 用集中數(shù)據(jù)庫管理多個(gè)Snort探測(cè)器
在分布式環(huán)境中,你可能需要在多個(gè)位置安裝Snort探測(cè)器�����。管理所有這些探測(cè)器并分別分析它們收集的數(shù)據(jù)是一項(xiàng)艱難的任務(wù)�。在企業(yè)應(yīng)用中,有一些方法可以將Snort設(shè)置和安裝成分布式的IDS����。
其中一種方法是將多個(gè)探測(cè)器連接到同一個(gè)中心數(shù)據(jù)庫�����,如圖1-3所示����。所有探測(cè)器產(chǎn)生的數(shù)據(jù)都存儲(chǔ)在這個(gè)數(shù)據(jù)庫中���。同時(shí)運(yùn)行一個(gè)類似于Apache的web服務(wù)器���。然后用戶可以用web瀏覽器察看這些數(shù)據(jù)并加以分析。
但要了解這種配置存在一些實(shí)際問題:
所有的探測(cè)器在啟動(dòng)Snort的時(shí)候必須能夠訪問到數(shù)據(jù)庫��,如果不能����,Snort就終止進(jìn)程����。
數(shù)據(jù)庫必須保證讓探測(cè)器所有的時(shí)間都能訪問,否則�����,數(shù)據(jù)將丟失。
如果探測(cè)器和數(shù)據(jù)庫服務(wù)器之間有防火墻�����,你要打開相應(yīng)的端口����,有時(shí)這樣做會(huì)與防火墻的安全策略不匹配或者違背安全策略。
在 探測(cè)器不能直接訪問數(shù)據(jù)庫服務(wù)器的時(shí)候��,有一些變通的方法���。探測(cè)器可以配置為將文件存儲(chǔ)在本地�,然后用類似于SCP的工具定期將這些文件上傳到中央數(shù)據(jù)庫 服務(wù)器�。SCP用SSH協(xié)議來進(jìn)行安全文件傳輸?shù)墓ぞ摺7阑饓芾韱T要放行SSH端口的通信���。你可以用Snort本身��,Barnyard或其他一些工具從 日志文件中提取數(shù)據(jù)并將它們放到數(shù)據(jù)庫中����,你可以在以后用web界面來察看這些數(shù)據(jù)。這種方式的唯一問題是數(shù)據(jù)庫中的數(shù)據(jù)并非嚴(yán)格的“實(shí)時(shí)”數(shù)據(jù)�。延遲的 大小要看你用SCP上傳數(shù)據(jù)到中心數(shù)據(jù)庫服務(wù)器的頻率。這種方式如圖2-1所示��。
要注意���,中心數(shù)據(jù)庫服務(wù)器必須要運(yùn)行SSH服務(wù)器以能夠用SCP來上傳數(shù)據(jù)�。
如第一章中提到的那樣����,這本書的最終目的是幫助你安裝Snort并讓所有的軟件包可以協(xié)同工作。當(dāng)你通讀此書后�����,你將了解這些部件之間是如何相互作用���,共同工作形成一個(gè)完整的入侵檢測(cè)系統(tǒng)的����。本書中涉及的這些軟件都可以這本書的網(wǎng)站http://authors./rhman/中獲得源代碼���。你也可以發(fā)現(xiàn)這個(gè)網(wǎng)站上的一些腳本可以幫助你輕松的在一個(gè)新系統(tǒng)上安裝這些軟件包��。事實(shí)上����,用這本書提到的這個(gè)網(wǎng)站上的一些腳本���,你可以以root身份用僅僅幾個(gè)命令行就建立一個(gè)可用的IDS����。如果你用的Snort的版本比本書涉及的要新���,你可以在http://www./downloads下載支持新版本Snort的最新版的腳本����。
這 本書將詳細(xì)介紹這些部件在RedHat Linux 7.3機(jī)器上的安裝��,但是在其他版本的Linux或者其他平臺(tái)上的過程與之類似���。為了方便本書介紹����,所有的部件都安裝在/opt目錄下面。但是如果用編譯 好的軟件包�,安裝位置可能有所不同。當(dāng)你用本書上或者從本書的網(wǎng)站取得的腳本����,文件將被安裝在這個(gè)目錄下面。在本章中�����,你將了解如何將Snort作為一個(gè) 獨(dú)立的產(chǎn)品安裝�����,在后面的章節(jié)中�����,將介紹其他一些部件�。
你可以得到二進(jìn)制形式或者源代碼形式的Snort。對(duì)于大多數(shù)安裝來說���,編譯好的二進(jìn)制軟 件包是非常好的�����。如前面提及的�����,如果你想為Snort定制一些特性�,你需要下載源代碼版的Snort自行編譯�。例如,有些人喜歡SMB告警����,但另外一些人 可能認(rèn)為它們不安全。如果你需要不支持SMB告警的Snort,那么你需要自己編譯它���。這對(duì)于一些如SNMP trap����、MySQL等其他特性也是一樣的��。另外一個(gè)自己編譯Snort理由是你需要了解正在開發(fā)中的代碼���。本章將指導(dǎo)你一步一步的安裝Snort�����。
基本的安裝過程是非常簡單的����,而且Snort已經(jīng)提供給你包含大多數(shù)已知攻擊特征的預(yù)定義的規(guī)則。當(dāng)然���,自定義安裝還是要費(fèi)一些工夫的����。
2.2 安裝Snort
在這一部分�,你將了解如何安裝編譯好的Snort和如何自己編譯和安裝。安裝編譯好的RPM包非常簡單��,僅需要幾步��。但是如果你的Snort是源代碼形式的�,是需要一些時(shí)間來了解和安裝的。
2.2.1 用RPM包安裝Snort
用RPM包安裝Snort包括下面的步驟����。
2.2.1.1 下載
從Snort的網(wǎng)站(http://www.)下載最新版的Snort。在寫本書的時(shí)候�����,最新版的二進(jìn)制文件是snort-1.9.0-1snort.i386.rpm。
2.2.1.2 安裝
運(yùn)行下面的命令來安裝Snort的二進(jìn)制文件:
rpm –install snort-1.9.0-1snort.i386.rpm
這個(gè)命令會(huì)產(chǎn)生下面的動(dòng)作:
n 創(chuàng)建/etc/snort目錄���,n 其中會(huì)存放Snort的規(guī)則文件和配置文件�����。
n 創(chuàng)建/var/log/snort目錄,n Snort的日志文件將會(huì)存放在這里��。
n 創(chuàng)建/usr/share/doc/snort-1.9.0目錄來存放Snort的文檔文件����,n 在這個(gè)目錄中,n 你會(huì)看到類似于FAQ,README的文件和其他一些文件����。
n 在/usr/sbin目錄中創(chuàng)建一個(gè)叫做snort-plain的文件,n 這是Snort的守護(hù)進(jìn)程��。 創(chuàng)建文件 /etc/rc.d/init.d/snortd文件��,n 這是啟動(dòng)和關(guān)閉腳本��。在RedHat Linux中��,n 它與/etc/init.d/snortd等價(jià)。
到這里基本安裝就完成了�,你可以開始使用Snort。這個(gè)版本的Snort并沒有將對(duì)數(shù)據(jù)庫的支持編譯進(jìn)去���,你只能用/var/log/snort目錄下面的日志文件����。
2.2.1.3 Snort的啟動(dòng)����,停止和重啟
用下面的命令手工啟動(dòng)Snort:
/etc/init.d/snortd start
這個(gè)命令將啟動(dòng)Snort守護(hù)進(jìn)程,運(yùn)行“ps –ef”命令���,你可以看到類似于下面的輸出:
root 15999 1 0 18:31 ? 00:00:01 /usr/sbin/
snort -A fast -b -l /var/log/snort -d -D -i eth0 -c /etc/
snort/snort.conf
注意每次你重啟機(jī)器���,你都要手工啟動(dòng)Snort。你可以通過創(chuàng)建文件鏈接的方式讓這個(gè)過程自動(dòng)執(zhí)行���,這將在本章的后面討論����。
用下面的命令停止Snort:
/etc/init.d/snortd stop
用下面的命令重新啟動(dòng)Snort:
/etc/init.d/snortd restart
2.2.2 用源代碼安裝Snort
為了能夠用源代碼安裝Snort,你必須先構(gòu)造它�。你可以用下面介紹的步驟來構(gòu)造出可執(zhí)行文件snort�����。首先從Snort網(wǎng)站(http://www.)獲得最新版的Snort�。在寫這本書的時(shí)候���,最新版的Snort是1.9.0��,下載文件的名稱是snort-1.9.0.tar.gz,下載后可以保存在/opt目錄中����。注意在你讀這本書的時(shí)候可能會(huì)是更新的版本,安裝方法也類似��。
2.2.2.1 解壓縮
下載后第一步要把源代碼解壓縮��,用下面的命令來執(zhí)行:
tar zxvf snort-1.9.0.tar.gz
這 樣會(huì)創(chuàng)建/opt/snort-1.9.0目錄�。確定你將文件下載到/opt目錄,并且你在這個(gè)目錄運(yùn)行tar命令�。如果是其他版本的Snort,目錄名 稱可能會(huì)有所不同,目錄名稱會(huì)反映版本號(hào)���。解壓縮后你可以運(yùn)行tree命令來觀察tar命令建立的目錄樹�,如下所示是/opt/snort-1.9.0的 目錄樹:
[root@conformix opt]# tree -d snort-1.9.0
snort-1.9.0
|– contrib
|– doc
|– etc
|– rules
|– src
| |– detection-plugins
| |– output-plugins
| |– preprocessors
| `– win32
| |– WIN32-Code
| |– WIN32-Includes
| | |– NET
| | |– NETINET
| | |– libnet
| | |– mysql
| | `– rpc
| |– WIN32-Libraries
| | |– libnet
| | `– mysql
| `– WIN32-Prj
`– templates
21 directories
[root@conformix opt]#
這些目錄中的主要內(nèi)容如下所示:
contrib目錄主要包括并非嚴(yán)格輸入Snort自身組成部分的應(yīng)用軟件,這些軟件包括ACID,MySQL數(shù)據(jù)庫生成腳本和其他�����。
doc目錄包含文檔文件�。
etc目錄包含配置文件。
rules目錄包含預(yù)先定義的規(guī)則文件����。
所有的源代碼在src目錄下面。
templates是為那些準(zhǔn)備自己寫插件的人準(zhǔn)備的���,這對(duì)大多數(shù)Snort用戶沒有意義���。
2.2.2.2 編譯和安裝
編譯和安裝過程包括下列3個(gè)步驟:
運(yùn)行configure腳本。
運(yùn)行make命令�。
運(yùn)行make install命令。
開 始Snort的編譯過程���,首先去/opt/snort-1.9.0目錄并運(yùn)行configure腳本����。如果你剛剛開始接觸GNU類的軟件����,你需要了解 configure腳本是開放源碼軟件包通用的工具��,它可以用來設(shè)置參數(shù)����,創(chuàng)建makefile,檢測(cè)開發(fā)工具和你系統(tǒng)中的庫文件�����。運(yùn)行 configure腳本的時(shí)候���,有許多命令行選項(xiàng),這些選項(xiàng)決定Snort編譯時(shí)將帶有那些組件��。比如�����,用這些選項(xiàng)�,你可以構(gòu)建對(duì)SNMP、MySQL或 SMB告警的支持以及其他很多事情�����。你同樣也可以定制Snort文件的最終安裝位置。你可以用“./configure –help”命令來察看可用的選項(xiàng)�,如下所示:
# ./configure –help
`configure’ configures this package to adapt to many kinds of systems.Usage: ./configure [OPTION]… [VAR=VALUE]…
To assign environment variables (e.g., CC, CFLAGS…), specify them as
VAR=VALUE. See below for descriptions of some of the useful variables.
Defaults for the options are specified in brackets.
Configuration:
-h, –help display this help and exit
–help=short display options specific to this package
–help=recursive display the short help of all the included packages
-V, –version display version information and exit
-q, –quiet, –silent do not print `checking…’ messages
–cache-file=FILE cache test results in FILE [disabled]
-C, –config-cache alias for `–cache-file=config.cache’
-n, –no-create do not create output files
–srcdir=DIR find the sources in DIR [configure dir or `..’]
Installation directories:
–prefix=PREFIX install architecture-independent files in PREFIX
[/usr/local]
–exec-prefix=EPREFIX install architecture-dependent files in EPREFIX
[PREFIX]
By default, `make install’ will install all the files in
`/usr/local/bin’, `/usr/local/lib’ etc. You can specify
an installation prefix other than `/usr/local’ using `–prefix’,
for instance `–prefix=$HOME’.
For better control, use the options below.
Fine tuning of the installation directories:
–bindir=DIR user executables [EPREFIX/bin]
–sbindir=DIR system admin executables [EPREFIX/sbin]
–libexecdir=DIR program executables [EPREFIX/libexec]
–datadir=DIR read-only architecture-independent data [PREFIX/share]
–sysconfdir=DIR read-only single-machine data [PREFIX/etc]
–sharedstatedir=DIR modifiable architecture-independent data [PREFIX/com]
–localstatedir=DIR modifiable single-machine data [PREFIX/var]
–libdir=DIR object code libraries [EPREFIX/lib]
–includedir=DIR C header files [PREFIX/include]
–oldincludedir=DIR C header files for non-gcc [/usr/include]
–infodir=DIR info documentation [PREFIX/info]
–mandir=DIR man documentation [PREFIX/man]
Program names:
–program-prefix=PREFIX prepend PREFIX to installed program names
–program-suffix=SUFFIX append SUFFIX to installed program names
–program-transform-name=PROGRAM run sed PROGRAM on installed program names
System types:
–build=BUILD configure for building on BUILD [guessed]
–host=HOST cross-compile to build programs to run on HOST [BUILD]
Optional Features:
–disable-FEATURE do not include FEATURE (same as –enable-FEATURE=no)
–enable-FEATURE[=ARG] include FEATURE [ARG=yes]
–disable-dependency-tracking Speeds up one-time builds
–enable-dependency-tracking Do not reject slow dependency extractors
–enable-debug enable debugging options (bugreports and developers only)
–enable-profile enable profiling options (developers only)
–enable-sourcefire Enable Sourcefire specific build options
–enable-perfmonitor Enable perfmonitor preprocessor
–enable-linux-smp-stats Enable statistics reporting through proc
–enable-flexresp Flexible Responses on hostile connection attempts
Optional Packages:
–with-PACKAGE[=ARG] use PACKAGE [ARG=yes]
–without-PACKAGE do not use PACKAGE (same as –with-PACKAGE=no)
–with-libpcap-includes=DIR libpcap include directory
–with-libpcap-libraries=DIR libpcap library directory
–with-libnet-includes=DIR libnet include directory
–with-libnet-libraries=DIR libnet library directory
–with-mysql=DIR support for mysql
–with-odbc=DIR support for odbc
–with-postgresql=DIR support for postgresql
–with-oracle=DIR support for oracle
Some influential environment variables:
CC C compiler command
CFLAGS C compiler flags
LDFLAGS linker flags, e.g. -L<lib dir> if you have libraries in a
nonstandard directory <lib dir>
CPPFLAGS C/C++ preprocessor flags, e.g. -I<include dir> if you have
headers in a nonstandard directory <include dir>
CPP C preprocessor
Use these variables to override the choices made by `configure’ or to help
it to find libraries and programs with nonstandard names/locations
方括號(hào)中的值表示如果該選項(xiàng)如果沒有被設(shè)定,系統(tǒng)就會(huì)選擇該默認(rèn)值����。例如:– prefix選項(xiàng)幫助第二行表示,如果沒有設(shè)定—prefix選項(xiàng)�����,系統(tǒng)就會(huì)選擇默認(rèn)值/usr/local�����。PREFIX是指當(dāng)你運(yùn)行“make install”命令的時(shí)候Snort文件要安裝的目錄�。
–prefix=PREFIX install architecture-independent files in PREFIX
[/usr/local]
運(yùn)行configure腳本的典型會(huì)話如下所示。為節(jié)省空間��,輸出信息作了刪減����。注意命令行中打開的選項(xiàng)。
[root@conformix snort-1.9.0]# ./configure –prefix=/opt/snort
–enable-smbalerts –enable-flexresp –with-mysql –with-snmp
–with-openssl
loading cache ./config.cache
checking for a BSD compatible install… (cached) /usr/bin/
install -c
checking whether build environment is sane… yes
checking whether make sets ${MAKE}… (cached) yes
checking for working aclocal… found
checking for working autoconf… found
checking for working automake… found
checking for working autoheader… found
checking for working makeinfo… found
checking for gcc… (cached) gcc
checking whether the C compiler (gcc ) works… yes
checking whether the C compiler (gcc ) is a cross-compiler…
no
checking whether we are using GNU C… (cached) yes
checking whether gcc accepts -g… (cached) yes
checking for gcc option to accept ANSI C… (cached) none
needed
checking for ranlib… (cached) ranlib
輸出信息作了刪件�����,因?yàn)閏onfigure命令會(huì)產(chǎn)生大量的信息。選項(xiàng)prefix告訴configuire腳本程序最終的安裝位置��。其他的選項(xiàng)用來使下列Snort組件生效:
對(duì)MySQL數(shù)據(jù)庫的支持��。
對(duì)SNMP trap信息的支持��。
對(duì)SMB告警的支持���。SMB告警用來向Windows發(fā)出彈出窗口告警��。
對(duì)flex響應(yīng)的支持����。Flex響應(yīng)用來實(shí)時(shí)終止網(wǎng)絡(luò)會(huì)話�。后面的章節(jié)將提供關(guān)于flex響應(yīng)的更多信息。注意你的系統(tǒng)必須安裝了libnet才能夠使用這個(gè)選項(xiàng)����。你可以從http://www.下載libnet��。我是用1.0.2a版來完成安裝的��。
運(yùn)行完configure腳本后,你可以運(yùn)行下面兩個(gè)命令來編譯和安裝Snort����。
make
make install
你 一個(gè)命令也許要一些時(shí)間來完成,這要看你的計(jì)算機(jī)的能力���。當(dāng)你運(yùn)行完第二個(gè)命令����,文件就會(huì)被安裝到適當(dāng)?shù)哪夸浿腥チ?。因?yàn)槟阍谶\(yùn)行configure腳本 的時(shí)候選擇了–prefix=/opt/snort,因此make install命令將Snort二進(jìn)制文件安裝到/opt/snort目錄中去����。
運(yùn)行configure腳本的可用參數(shù)見表2-1
表2-1 configure腳本參數(shù)一覽表
參數(shù) 描述
–with-mysql 構(gòu)建Snort對(duì)Mysql的支持
–with-snmp 構(gòu)建Snort對(duì)SNMP的支持。如果用這個(gè)選項(xiàng)����,必須同時(shí)選-—with-openssl
–with-openssl 對(duì)OpenSSL的支持。當(dāng)你選—with-snmp時(shí)要選擇這個(gè)選項(xiàng)�����。
–with-oracle 對(duì)Oracle數(shù)據(jù)庫的支持����。
–with-odbc 構(gòu)建Snort對(duì)ODBC的支持���。
–enable-flexresp 使Snort能夠使用Flex響應(yīng),以能夠終止惡意的連接�����。目前這個(gè)選項(xiàng)還在實(shí)驗(yàn)中(察看Snort發(fā)布的README.FLEXRESP文件)�。
–enable-smbalerts 使Snort能夠發(fā)送SMB告警。注意每次告警時(shí)都會(huì)占用客戶端的用戶空間�。
–Prefix=DIR 設(shè)置安裝Snort文件的目錄。
在運(yùn)行“make install”命令之前���,你也可以運(yùn)行“make check”命令來確定Snort的構(gòu)建是否正確�。
安裝完畢之后���,運(yùn)行Snort來看看是否可執(zhí)行文件可以工作��。在完成前面的步驟后���,Snort的二進(jìn)制文件會(huì)被安裝在/opt/snort/bing目錄中�。下面的命令會(huì)顯示新安裝的snort的基本幫助信息和命令行選項(xiàng)。
如果你看到這樣的信息,你的Snort就安裝正確了�。在下一部分,你將了解如何配置和運(yùn)行Snort��。
2.2.2.3 安裝完后要做的工作
現(xiàn)在你已經(jīng)安裝好了Snort二進(jìn)制文件���,但是還有些事情要做:
創(chuàng)建/var/log/snort目錄作為Snort默認(rèn)的存放日至文件的地方���。
創(chuàng)建一個(gè)存放配置文件的目錄。我創(chuàng)建的是/opt/snort/etc目錄�,你可以創(chuàng)建自己的目錄。
創(chuàng)建或者復(fù)制配置文件到/opt/snort/etc目錄下��。
創(chuàng)建目錄/opt/snort/rules并且將默認(rèn)的規(guī)則文件拷貝到里面����。這個(gè)目錄會(huì)在snort.conf文件中指定,你可以創(chuàng)建自己喜歡的目錄��。
下面來詳細(xì)解釋這些步驟:
首先�,創(chuàng)建/var/log/snort目錄讓Snort存放日志文件。你也可以用其它的目錄�,但是這個(gè)目錄是慣常使用的。如果你用其他任何目錄���,你需要在啟動(dòng)Snort的時(shí)候用命令行選項(xiàng)-l來指定��。
然后�,要?jiǎng)?chuàng)建Snort配置文件。當(dāng)Snort啟動(dòng)的時(shí)候����,將從當(dāng)前目錄讀取配置文件snort.conf或者從運(yùn)行Snort的用戶屬主目錄讀取. snortrc文件。如果這個(gè)文件在其他目錄中�,你也可以用命令行選項(xiàng)-c來指定。開始的時(shí)候�,你可以將Snort源代碼中附帶的snort.conf文 件拷貝到你創(chuàng)建的/opt/snort/etc目錄下面。同時(shí)也把classification.config和reference.config文件拷 貝進(jìn)去�,這兩個(gè)文件是snort.conf文件要引用的。另外將源代碼中rules目錄下面的所有文件拷貝到/opt/snort/rules目錄下面����。 參考下列命令實(shí)現(xiàn)這些步驟:
mkdir /opt/snort/etc
cp /opt/snort-1.9.0/etc/snort.conf /opt/snort/etc
cp /opt/snort-1.9.0/etc/classification.config /opt/snort/etc
cp /opt/snort-1.9.0/etc/reference.config /opt/snort/etc
mkdir /opt/snort/rules
cp /opt/snort-1.9.0/rules/* /opt/snort/rules
rules目錄中以.rules為后綴的文件中包含了各種規(guī)則�����,這些文件被snort.conf文件引用�����。這些rules文件的位置由snort.conf文件中定義的RULE_PATH變量控制���,該變量在snort.conf中的定義一般如下表示:
var RULE_PATH ../rules
它說明rules文件的位置在名叫rules的目錄下。例如�����,如果snort.conf文件在/opt/snort/etc目錄中����,那么所有的規(guī)則文件就 應(yīng)該在/opt/snort/rules目錄下。又例如如果snort.conf文件在/var/snort目錄下��,那么規(guī)則文件必須在 /var/rules目錄中����。你也可以將snort.conf與所有規(guī)則文件放在同一目錄下面,只是你要將snort.conf文件中rules位置變量 的值由../變成./:
var RULE_PATH ./
在下一章中��,你將了解更多的關(guān)于Snort規(guī)則的信息�,同時(shí)你也將了解如何定義自己的規(guī)則。
classification.config文件中包括了關(guān)于Snort規(guī)則分類的信息�,你將在下一章中了解更多信息。在本書的例子中���,Snort的所有源代碼文件在/opt/snort-1.9.0目錄中�����,如果你用的是不同版本的Snort,該目錄也會(huì)不同���。
Reference.config文件中羅列了一些關(guān)于各種告警信息的參考網(wǎng)站的URL,這些參考將在Snort規(guī)則中引用����,你會(huì)在下一章了解更多信息���。典型的reference.config文件如下所示:
# $Id: reference.config,v 1.3 2002/08/28 14:19:15 chrisgreen
Exp $
# The following defines URLs for the references found in the
rules
#
# config reference: system URL
config reference: bugtraq http://www./bid/
config reference: cve http://cve./cgi-bin/
cvename.cgi?name=
config reference: arachNIDS http://www./info/IDS
# Note, this one needs a suffix as well…. lets add that in a
bit.
config reference: McAfee http://vil./vil/content/v_
config reference: nessus http://cgi./plugins/
dump.php3?id=
config reference: url http://
注意:classification和reference.config文件都會(huì)被主配置文件snort.conf引用�。
現(xiàn)在你可以用下面的命令運(yùn)行Snort了��,這個(gè)命令會(huì)顯示啟動(dòng)信息����,然后監(jiān)聽eth0接口。注意為了避免一些困擾�,這個(gè)命令用命令行選項(xiàng)指定了snort.conf文件的絕對(duì)目錄。
[root@conformix snort]# /opt/snort/bin/snort -c /opt/snort/
etc/snort.conf
Initializing Output Plugins!
Log directory = /var/log/snort
Initializing Network Interface eth0
–== Initializing Snort ==–
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /opt/snort/etc/snort.conf
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains…
No arguments to frag2 directive, setting defaults to:
Fragment timeout: 60 seconds
Fragment memory cap: 4194304 bytes
Fragment min_ttl: 0
Fragment ttl_limit: 5
Fragment Problems: 0
Stream4 config:
Stateful inspection: ACTIVE
Session statistics: INACTIVE
Session timeout: 30 seconds
Session memory cap: 8388608 bytes
State alerts: INACTIVE
Evasion alerts: INACTIVE
Scan alerts: ACTIVE
Log Flushed Streams: INACTIVE
MinTTL: 1
TTL Limit: 5
Async Link: 0
No arguments to stream4_reassemble, setting defaults:
Reassemble client: ACTIVE
Reassemble server: INACTIVE
Reassemble ports: 21 23 25 53 80 143 110 111 513
Reassembly alerts: ACTIVE
Reassembly method: FAVOR_OLD
http_decode arguments:
Unicode decoding
IIS alternate Unicode decoding
IIS double encoding vuln
Flip backslash to slash
Include additional whitespace separators
Ports to decode http on: 80
rpc_decode arguments:
Ports to decode RPC on: 111 32771
telnet_decode arguments:
Ports to decode telnet on: 21 23 25 119
Conversation Config:
KeepStats: 0
Conv Count: 32000
Timeout : 60
Alert Odd?: 0
Allowed IP Protocols: All
Portscan2 config:
log: /var/log/snort/scan.log
scanners_max: 3200
targets_max: 5000
target_limit: 5
port_limit: 20
timeout: 60
1273 Snort rules read…
1273 Option Chains linked into 133 Chain Headers
0 Dynamic rules
+++++++++++++++++++++++++++++++++++++++++++++++++++
Rule application order: ->activation->dynamic->alert->pass-
>log
–== Initialization Complete ==–
-*> Snort! <*-
Version 1.9.0 (Build 209)
By Martin Roesch (roesch@sourcefire.com, www.)
正 如你看到的這些輸出信息��,Snort已經(jīng)開始監(jiān)聽eth0接口了�����。如果有任何包與規(guī)則匹配,Snort就會(huì)根據(jù)規(guī)則做出相應(yīng)的動(dòng)作并發(fā)出告警����。告警可以以 多種形式發(fā)出。在這種基本方式中�,告警將被記錄到/var/log/snort/alerts文件中�����。后面��,你將看到產(chǎn)生其他形式的告警并將它們記錄到數(shù) 據(jù)庫中的方法�,同時(shí)你也會(huì)了解Snort告警的數(shù)據(jù)文件的格式。
你可以在任何時(shí)候同時(shí)按下ctrl鍵和c鍵來終止Snort進(jìn)程�,這時(shí)Snort將顯示程序活動(dòng)的概要然后退出,如下所示:
==========================================================
Snort analyzed 65 out of 65 packets, dropping 0(0.000%)
packets
Breakdown by protocol: Action Stats:
TCP: 55 (84.615%) ALERTS: 10
UDP: 10 (15.385%) LOGGED: 10
ICMP: 0 (0.000%) PASSED: 0
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==========================================================
Wireless Stats:
Breakdown by type:
Management Packets: 0 (0.000%)
Control Packets: 0 (0.000%)
Data Packets: 0 (0.000%)
==========================================================
Fragmentation Stats:
Fragmented IP Packets: 0 (0.000%)
Fragment Trackers: 0
Rebuilt IP Packets: 0
Frag elements used: 0
Discarded(incomplete): 0
Discarded(timeout): 0
Frag2 memory faults: 0
==========================================================
TCP Stream Reassembly Stats:
TCP Packets Used: 55 (84.615%)
Stream Trackers: 1
Stream flushes: 0
Segments used: 0
Stream4 Memory Faults: 0
==========================================================
Snort received signal 2, exiting
[root@conformix snort]#
前 面提到的方法是在前臺(tái)運(yùn)行Snort,用這種方式運(yùn)行Snort你在終端會(huì)失去提示符�。你可以用命令行開關(guān)-D來在后臺(tái)運(yùn)行Snort,這樣Snort仍 然將告警信息記錄到/var/log/snort,同時(shí)你得到了提示符���。注意�,如果你是用RPM包安裝的Snort,那么你可以用 “/etc/init.d/snortd start”命令使Snort在后臺(tái)運(yùn)行�。
2.2.3 Snort啟動(dòng)時(shí)的錯(cuò)誤
如果你是自己編譯的Snort,啟動(dòng)Snort的時(shí)候,有時(shí)會(huì)看到下面的錯(cuò)誤信息:
[!] ERROR: Cannot get write access to logging directory “/var/
log/snort”.
(directory doesn’t exist or permissions are set incorrectly
or it is not a directory at all)
Fatal Error, Quitting..
造成這個(gè)錯(cuò)誤的原因是你沒有創(chuàng)建/var/log/snort目錄�����。運(yùn)行“mkdir /var/log/snort”然后再啟動(dòng)Snort這個(gè)錯(cuò)誤就消失了。
如果你看到下面的錯(cuò)誤信息����,說明你在啟動(dòng)Snort沒有在命令行中正確指定配置文件的時(shí)候沒有指定配置文件。
Initializing rule chains…
ERROR: Unable to open rules file: /root/.snortrc or /root//
root/.snortrc
Fatal Error, Quitting..
注意:你可以下列情況�,你可以不指定配置文件:
你在配置文件所在的目錄啟動(dòng)Snort。
你已經(jīng)將配置文件復(fù)制到你的屬主目錄中的.snortrc文件中�。
2.2.4 測(cè)試Snort
在啟動(dòng)Snort后,你需要知道Snort是否真正開始捕獲數(shù)據(jù)并紀(jì)錄入侵行為���。如果你在前臺(tái)用命令行選項(xiàng)“-A console”來啟動(dòng)Snort,你將在終端屏幕上看到告警信息�����。如果你用守護(hù)進(jìn)程模式啟動(dòng)Snort而不用上面的命令行選項(xiàng)�����,那么告警就記錄到 /var/log/snort/alert文件中�。
下面的命令將使你在控制臺(tái)或者/var/log/snort/alert文件中看到一些告警信息���,你可以判斷Snort是否正常工作:
ping -n -r -b 255.255.255.255 -p “7569643d3028726f6f74290a” -c3
如果你用“-A console”命令行選項(xiàng)����,你應(yīng)該在屏幕上來到類似于下面的告警:
11/19-18:51:04.560952 [**] [1:498:3] ATTACK RESPONSES id
check returned root [**] [Classification: Potentially Bad
Traffic] [Priority: 2] {ICMP} 10.100.1.105 -> 255.255.255.255
2.2.4.1 產(chǎn)生測(cè)試告警
下面的名為snort-test.sh的腳本可以在http://authors./rehman/上找到。它的基本作用于上面的命令類似���,不過能夠在以守護(hù)進(jìn)程模式運(yùn)行Snort的時(shí)候用到����。
1 #!/bin/sh
2 #
3 ###############################################################
4 # You are free to copy and distribute this script under #
5 # GNU Public License until this part is not removed #
6 # from the script. #
7 ###############################################################
8 # HOW TO USE #
9 # #
10 # Right after installation of Snort, run this script. #
11 # It will generate alerts in /var/log/snort/alert file similar#
12 # to the following: #
13 # #
14 # Note that Snort must be running at the time you run this #
15 # script. #
16 # #
17 # [**] [1:498:3] ATTACK RESPONSES id check returned root [**] #
18 # [Classification: Potentially Bad Traffic] [Priority: 2] #
19 # 08/31-15:56:48.188882 255.255.255.255 -> 192.168.1.111 #
20 # ICMP TTL:150 TOS:0×0 ID:0 IpLen:20 DgmLen:84 #
21 # Type:0 Code:0 ID:45596 Seq:1024 ECHO REPLY #
22 # #
23 # These alerts are displayed at the end of the script. #
24 ###############################################################
25 #
26 clear
27 echo “###############################################################”
28 echo “# Script to test Snort Installation #”
29 echo “# Written By #”
30 echo “# #”
31 echo “# Rafeeq Rehman #”
32 echo “# rr@ #”
33 echo “# Argus Network Security Services Inc. #”
34 echo “# http://www. #”
35 echo “###############################################################”
36 echo
37
38 echo
39 echo “###############################################################”
40 echo “The script generates three alerts in file /var/log/snort/alert”
41 echo “Each alert should start with message like the following:”
42 echo
43 echo ” \”ATTACK RESPONSES id check returned root\” ”
44 echo “###############################################################”
45 echo
46 echo “Enter IP address of any other host on this network. If you”
47 echo “don’t know any IP address, just hit Enter key. By default”
48 echo -n “broacast packets are used [255.255.255.255] : ”
49
50 read ADDRESS
51
52 if [ -z $ADDRESS ]
53 then
54 ADDRESS=”255.255.255.255″
55 fi
56
57 echo
58 echo “Now generating alerts. If it takes more than 5 seconds, break”
59 echo “the script by pressing Ctrl-C. Probably you entered wrong IP”
60 echo “address. Run the script again and don’t enter any IP address”
61
62 ping -i 0.3 -n -r -b $ADDRESS -p “7569643d3028726f6f74290a” -c3 2>/dev/
null >/dev/null
63
64 if [ $? -ne 0 ]
65 then
66 echo “Alerting generation failed.”
67 echo “Aborting …”
68 exit 1
69 else
70 echo
71 echo “Alert generation complete”
72 echo
73 fi
74
75 sleep 2
76
77
78 echo
79 echo “################################################################”
80 echo “Last 18 lines of /var/log/snort/alert file will be displayed now”
81 echo “If snort is working properly, you will see recently generated”
82 echo “alerts with current time”
83 echo “################################################################”
84 echo
85 echo “Hit Enter key to continue …”
86 read ENTER
87
88 if [ ! -f /var/log/snort/alert ]
89 then
90 echo “The log file does not exist.”
91 echo “Aborting …”
92 exit 1
93 fi
94
95 tail -n18 /var/log/snort/alert
96
97 echo
98 echo “Done”
99 echo
該腳本將產(chǎn)生一些告警����,如果你用守護(hù)進(jìn)程模式運(yùn)行Snort,你可以在/var/log/snort/alert文件中看到,或者你可以在你運(yùn)行 Snort的終端屏幕上看到���。導(dǎo)致告警的原因是發(fā)送了定制的ICMP echo包��,定制的特征將觸發(fā)下列Snort規(guī)則����,并產(chǎn)生一個(gè)告警�����。
alert ip any any -> any any (msg:”ATTACK RESPONSES id check
returned root”; content: “uid=0(root)”; classtype:bad-unknown;
sid:498; rev:3;)
告警產(chǎn)生后,腳本將顯示/var/log/snort/alert文件的最后18行信息�。
現(xiàn)在讓我們來看看腳本的各個(gè)部門以及它是如何運(yùn)作的。第52到55行的作用是提示用戶輸入ping包發(fā)送目標(biāo)的地址��,如果用戶沒有輸入����,腳本就會(huì)采用255.255.255.255這個(gè)地址,ping包就會(huì)作為廣播包發(fā)送�����。
第62行的作用是產(chǎn)生觸發(fā)規(guī)則的ICMP包�����。注意在這里“7569643d3028726f6f74290a”
事實(shí)上與“uid=0(root)”是等價(jià)的�����,這樣的特征可以產(chǎn)生告警�����。
命令行參數(shù)-c3的作用是產(chǎn)生3個(gè)包����。并且標(biāo)準(zhǔn)輸入和錯(cuò)誤都被重定向到/dev/null中去了��,因此不會(huì)產(chǎn)生屏幕輸出�����。你可以用“man ping”命令來察看ping命令的man page以獲得更多的信息��。
第64行到第73行的作用是檢查ping命令的輸出結(jié)果����。輸出的信息將顯示ping命令執(zhí)行結(jié)果的成功或者失敗�����。如果命令失敗����,腳本就在這里退出����,不再執(zhí)行下面的過程。
如果告警成功產(chǎn)生��,它們一定會(huì)出現(xiàn)在/var/log/snort/alert文件中。腳本88到93行用來檢測(cè)這個(gè)文件是否存在�����,如果不存在���,腳本就退出運(yùn)行����。
如果一切正常�,第95行的作用就是顯示/var/log/snort/alert文件的最后18行內(nèi)容。
2.2.4.2 自動(dòng)啟動(dòng)Snort并產(chǎn)生自動(dòng)告警的腳本
如果你將Snort安裝到/opt/snort目錄下�����,你也可以用下面的腳本來自動(dòng)啟動(dòng)和停止Snort并檢驗(yàn)其工作是否正常�����。在運(yùn)行這個(gè)腳本之前要確定 Snort還沒有啟動(dòng)�,因?yàn)檫@個(gè)腳本將自己啟動(dòng)Snort。這個(gè)名為snort-test-auto.sh的腳本文件可以在本書的相關(guān)網(wǎng)站http://authors./rehman中找到����。
1 #!/bin/sh
2 #
3 ###############################################################
4 # You are free to copy and distribute this script under #
5 # GNU Public License until this part is not removed #
6 # from the script. #
7 ###############################################################
8 # HOW TO USE #
9 # #
10 # Right after installation of Snort, run this script. #
11 # It is assumed that snort executable is present in the #
12 # /opt/argus/bin directory and all rules and configuration #
13 # files are present under /opt/argus/etc/snort directory. #
14 # If files are in other locations, edit the following location#
15 # of variables. If you used the installation script provided #
16 # along with this script, the files will be automatically #
17 # located in appropriate directories. #
18 # #
19 # Note that the script starts and stops Snort by itself and #
20 # you should make sure that Snort is not running at the time #
21 # you run this script. #
22 # #
23 # It will generate alerts in /tmp/alert file similar #
24 # to the following: #
25 # #
26 # [**] [1:498:3] ATTACK RESPONSES id check returned root [**] #
27 # [Classification: Potentially Bad Traffic] [Priority: 2] #
28 # 08/31-15:56:48.188882 255.255.255.255 -> 192.168.1.111 #
29 # ICMP TTL:150 TOS:0×0 ID:0 IpLen:20 DgmLen:84 #
30 # Type:0 Code:0 ID:45596 Seq:1024 ECHO REPLY #
31 # #
32 # These alerts are displayed at the end of the script. #
33 ###############################################################
34 #
35
36 PREFIX=/opt/snort
37 SNORT=$PREFIX/bin/snort
38 SNORT_CONFIG=$PREFIX/etc/snort.conf
39 LOG_DIR=/tmp
40 ALERT_FILE=$LOG_DIR/alert
41 ALERT_FILE_OLD=$LOG_DIR/alert.old
42 ADDRESS=”255.255.255.255″
43
44 clear
45
46 echo “###############################################################”
47 echo “# Script to test Snort Installation #”
48 echo “# Written By #”
49 echo “# #”
50 echo “# Rafeeq Rehman #”
51 echo “# rr@ #”
52 echo “# Argus Network Security Services Inc. #”
53 echo “# http://www. #”
54 echo “###############################################################”
55 echo
56
57 echo
58 echo “###############################################################”
59 echo “The script generates three alerts in file /tmp/alert”
60 echo “Each alert should start with message like the following:”
61 echo
62 echo ” \”ATTACK RESPONSES id check returned root\” ”
63 echo “###############################################################”
64 echo
65
66 if [ ! -d $LOG_DIR ]
67 then
68 echo “Creating log directory …”
69 mkdir $LOG_DIR
70
71 if [ $? -ne 0 ]
72 then
73 echo “Directory $LOGDIR creation failed”
74 echo “Aborting …”
75 exit 1
76 fi
77 fi
78
79 if [ -f $ALERT_FILE ]
80 then
81 mv -f $ALERT_FILE $ALERT_FILE_OLD
82
83 if [ $? -ne 0 ]
84 then
85 echo “Can’t rename old alerts file.”
86 echo “Aborting …”
87 exit 1
88 fi
89 fi
90
91 if [ ! -f $SNORT ]
92 then
93 echo “Snort executable file $SNORT does not exist.”
94 echo “Aborting …”
95 exit 1
96 fi
97
98 if [ ! -f $SNORT_CONFIG ]
99 then
100 echo “Snort configuration file $SNORT_CONFIG does not exist.”
101 echo “Aborting …”
102 exit 1
103 fi
104
105 if [ ! -x $SNORT ]
106 then
107 echo “Snort file $SNORT is not executable.”
108 echo “Aborting …”
109 exit 1
110 fi
111
112 echo “Starting Snort …”
113 $SNORT -c $SNORT_CONFIG -D -l /tmp 2>/dev/null
114
115 if [ $? -ne 0 ]
116 then
117 echo “Snort startup failed.”
118 echo “Aborting …”
119 exit 1
120 fi
121
122 echo
123 echo “Now generating alerts.”
124
125 ping -i 0.3 -n -r -b $ADDRESS -p “7569643d3028726f6f74290a” -c3 2>/dev/
null >/dev/null
126
127 if [ $? -ne 0 ]
128 then
129 echo “Alerting generation failed.”
130 echo “Aborting …”
131 exit 1
132 else
133 echo
134 echo “Alert generation complete”
135 echo
136 fi
137
138 sleep 2
139
140 tail -n18 $ALERT_FILE 2>/dev/null | grep “ATTACK RESPONSES id check” >/
dev/null
141
142 if [ $? -ne 0 ]
143 then
144 echo “Snort test failed.”
145 echo “Aborting …”
146 exit 1
147 fi
148
149 echo “Stopping Snort …”
150 pkill snort >/dev/null 2>&1
151
152 if [ $? -ne 0 ]
153 then
154 echo “Snort stopping failed.”
155 echo “Aborting …”
156 exit 1
157 fi
158
159 echo
160 echo “Done. Snort installation is working properly”
161 echo
也許你會(huì)注意到��,如果腳本成功產(chǎn)生����,這個(gè)腳本將在/tmp目錄中創(chuàng)建告警文件����。如果你運(yùn)行腳本一切正常,你將看到下面的輸出信息:
###########################################################
# Script to test Snort Installation #
# Written By #
# #
# Rafeeq Rehman #
# rr@ #
# Argus Network Security Services Inc. #
# http://www. #
###########################################################
###########################################################
The script generates three alerts in file /tmp/alert
Each alert should start with message like the following:
“ATTACK RESPONSES id check returned root”
##########################################################
Starting Snort …
Now generating alerts.
Alert generation complete
Stopping Snort …
Done. Snort installation is working properly
在你運(yùn)行這個(gè)腳本的時(shí)候�����,它將會(huì)做一系列的事情����。首先在36行到42行它定義了一些變量。
在定義變量之后����,腳本將做以下的事情:
第66到67行用來檢測(cè)$LOG_DIR目錄是否存在����。第39行中定義了這個(gè)目錄為/tmp。如果這個(gè)目錄不存在�,腳本將創(chuàng)建它����。
第78到79行用來檢測(cè)$ALERT_FILE文件是否存在�����,也就是/tem/alert����,如果已經(jīng)存在,那么腳本將其更名為/tmp/alert.old�����。
第91到96行用來檢測(cè)Snort的二進(jìn)制文件是否存在�,在這里也就是/opt/snort/bin/snort。如果這個(gè)文件不存在���,腳本就終止執(zhí)行���。
第98到103行用來檢測(cè)$SNORT_CONFIG文件,在這里也就是/opt/snort/etc/snort.conf文件是否存在���,如果不存在�,腳本就終止執(zhí)行。
第105到110行用來確定Snort的二進(jìn)制文件可以正常執(zhí)行����。
第113行用來啟動(dòng)Snort.
第115到120行用來檢測(cè)Snort啟動(dòng)是否正常。
第125行用來產(chǎn)生前面提到的告警����,這些告警將被發(fā)送到廣播地址。
第127到136行用來確定告警產(chǎn)生過程是否正常��。
第140行用來檢測(cè)alert文件中的最后18行已確定告警是否成功產(chǎn)生以及是否正常記錄日志�。
第142到147行的作用是如果第140行測(cè)試的結(jié)果失敗,就顯示一個(gè)錯(cuò)誤信息����。
第150行用來停止Snort。
第160行顯示信息表示測(cè)試過程成功�����。
2.2.5 在非默認(rèn)端口運(yùn)行Snort
在Linux系統(tǒng)中�,Snort啟動(dòng)的時(shí)候就開始監(jiān)聽網(wǎng)絡(luò)eth0。但是很多人在有多個(gè)接口的機(jī)器上運(yùn)行Snort��。如果你想讓Snort監(jiān)聽其它的接口����,你要用到命令行選項(xiàng)-I。下面的命令可以啟動(dòng)Snort使其監(jiān)聽網(wǎng)絡(luò)接口eth1����。
snort -c /opt/snort/etc/snort.conf –i eth1
在自動(dòng)和關(guān)閉Snort的情況下,你需要修改腳本/etc/init.d/snortd以使Snort啟動(dòng)的時(shí)候監(jiān)聽你所希望的端口�����。關(guān)于Snort的自動(dòng)自動(dòng)和關(guān)閉在下一部分解釋���。
2.2.6 Snort的自動(dòng)啟動(dòng)和關(guān)閉
你可以配置Snort使其在系統(tǒng)啟動(dòng)和關(guān)閉的時(shí)候自動(dòng)啟動(dòng)和關(guān)閉�����。在UNIX類的機(jī)器上���,你可以用腳本來完成這項(xiàng)工作,在Linux中�����,可以在 /etc/init.d/目錄下創(chuàng)建這樣的腳本。啟動(dòng)腳本可以鏈接到/etc/rc3.d目錄下����,關(guān)閉腳本可以鏈接到/etc/rc2.d、 /etc/rc1.d和/etc/rc0.d目錄下��。Snort的RPM發(fā)布版中捆綁的/etc/init.d/snortd腳本文件大體如下所示:
[root@conformix]# cat /etc/init.d/snortd
#!/bin/sh
#
# snortd Start/Stop the snort IDS daemon.
#
# chkconfig: 2345 40 60
# description: snort is a lightweight network intrusion
# detection tool that
# currently detects more than 1100 host and network
# vulnerabilities, portscans, backdoors, and more.
#
# June 10, 2000 — Dave Wreski <dave@linuxsecurity.com>
# - initial version
#
# July 08, 2000 Dave Wreski <dave@guardiandigital.com>
# - added snort user/group
# - support for 1.6.2
# July 31, 2000 Wim Vandersmissen <wim@bofh.st>
# - added chroot support
# Source function library.
. /etc/rc.d/init.d/functions
# Specify your network interface here
INTERFACE=eth0
# See how we were called.
case “$1″ in
start)
echo -n “Starting snort: ”
cd /var/log/snort
daemon /usr/sbin/snort -A fast -b -l /var/log/snort \
–d -D -i $INTERFACE -c /etc/snort/snort.conf
touch /var/lock/subsys/snort
echo
;;
stop)
echo -n “Stopping snort: ”
killproc snort
rm -f /var/lock/subsys/snort
echo
;;
restart)
$0 stop
$0 start
;;
status)
status snort
;;
*)
echo “Usage: $0 {start|stop|restart|status}”
exit 1
esac
exit 0
[root@conformix /root]#
要 注意的是�,啟動(dòng)和關(guān)閉Snort都會(huì)用這同一個(gè)文件。在某一運(yùn)行級(jí)別����,鏈接文件名的第一個(gè)字符用來確定這個(gè)腳本是用來啟動(dòng)還是用來關(guān)閉Snort。啟動(dòng)鏈 接以S開頭����,如運(yùn)行級(jí)別3中的啟動(dòng)文件/etc/rc3.d/S50snort,實(shí)際上它是鏈接到/etc/init.d/snortd文件的��。與之類 似�,用來關(guān)閉的腳本鏈接文件以K開頭,例如/etc/rc2.d/K50snort�����,這樣將在運(yùn)行級(jí)別2關(guān)閉Snort�。
同時(shí),你也可以用腳本來手工啟動(dòng)和關(guān)閉Snort,下面的兩個(gè)命令分別用來啟動(dòng)和關(guān)閉Snort:
/etc/init.d/snortd start
/etc/init.d/snortd stop
注意腳本在同運(yùn)行級(jí)別目錄中的鏈接可能會(huì)有不同的名稱。腳本鏈接文件的名字依賴于在系統(tǒng)啟動(dòng)關(guān)閉過程中Snort所處的位置�����。如果你用RPM安裝的Snort,那么這些鏈節(jié)將在安裝RPM包的過程中被創(chuàng)建��。
2.3 在多個(gè)網(wǎng)絡(luò)接口上運(yùn)行Snort
當(dāng)Snort啟動(dòng)的時(shí)候�����,將在某個(gè)端口上監(jiān)聽網(wǎng)絡(luò)通信�。你可以用命令行選項(xiàng)-I <interface_name>來指定你想監(jiān)聽的接口�。如果你想同時(shí)監(jiān)聽多個(gè)網(wǎng)絡(luò)接口,那么你需要同時(shí)運(yùn)行多個(gè)Snort的副本���。例如����,下 面兩個(gè)命令用來在Linux機(jī)器上監(jiān)聽eth0接口和eth1接口���。
/opt/snort/bin/snort -c /opt/snort/etc/snort.conf -i eth0 -l /
var/log/snort0
/opt/snort/bin/snort -c /opt/snort/etc/snort.conf -i eth1 -l /
var/log/snort1
我們看到這兩個(gè)命令用到了兩個(gè)日志目錄:/var/log/snort0和/var/log/snort1����,因此這兩個(gè)Snort進(jìn)程將分別保存自己的日志。在你啟動(dòng)Snort的時(shí)候����,這兩個(gè)目錄必須已經(jīng)存在。
如果根據(jù)snort.conf文件的配置�,Snort將日志記錄到MySQL數(shù)據(jù)庫中,那么日志將被記錄到同一個(gè)數(shù)據(jù)庫中�����。
你需要了解���,你也可以給不同的Snort進(jìn)程使用不同的配置文件�����,這樣做的目的有很多個(gè)�����。主要原因是你的不同網(wǎng)絡(luò)接口所連接的網(wǎng)絡(luò)是不同的���,另一個(gè)原因是你可以讓一個(gè)接口的Snort將日志記錄到數(shù)據(jù)庫中,而另外一個(gè)記錄到系統(tǒng)日志中���。見圖2-2:
2.4 Snort命令行選項(xiàng)
Snort有很多命令行選項(xiàng)�,可以讓你在啟動(dòng)Snort的時(shí)候根據(jù)情況選擇。正如你在前面看到的���,你可以在一個(gè)系統(tǒng)上運(yùn)行多個(gè)Snort���。你可以用命令“Snort -?”來顯示命令行選項(xiàng)�����。最常用的一些命令行選項(xiàng)如表2-2所示�����。
選項(xiàng) 描述
-A 用來設(shè)置告警模式�����。告警模式用來設(shè)置告警數(shù)據(jù)的詳細(xì)程度�����?���?捎玫哪J接衒ast,full,console和none�����。你在前面已經(jīng)看到console模式是在屏幕上顯示告警而不記錄到文件����。Fast模式在Snort運(yùn)行在高速網(wǎng)絡(luò)環(huán)境中能夠用得到�����。
-b 這個(gè)選項(xiàng)用來將日志記錄為tcpdump格式��,這樣記錄日志的速度非?�??���,然后你可以用tcpdump程序來察看數(shù)據(jù)。
-c 這是最常用的選項(xiàng)����,用來指定snort.conf文件的位置。如果你用這個(gè)選項(xiàng)指定�����,Snort就不會(huì)在默認(rèn)位置找snort.conf文件。例如��,如果 snort.conf文件在/etc目錄中�����,你要用命令行選項(xiàng)”-c /etc/snort.conf”來啟動(dòng)Snort�����。
-D 這個(gè)選項(xiàng)用來使Snort在后臺(tái)運(yùn)行�����,在多數(shù)實(shí)用情況�����,會(huì)用到這個(gè)選項(xiàng)�����。在安裝完測(cè)試的時(shí)候�����,不要用這個(gè)選項(xiàng)��。
-i 這個(gè)選項(xiàng)用來指定Snort監(jiān)聽的網(wǎng)絡(luò)接口����。當(dāng)你有多個(gè)網(wǎng)絡(luò)接口并想監(jiān)聽其中一個(gè)的時(shí)候,這個(gè)選項(xiàng)使非常有用的�����。而且在你運(yùn)行多個(gè)Snort來監(jiān)聽多個(gè)接 口的時(shí)候�����,也會(huì)用到這個(gè)選項(xiàng)����。例如你只想監(jiān)聽eth1接口,那么在啟動(dòng)Snort的時(shí)候用“-i eth1”選項(xiàng)����。
-l 這個(gè)選項(xiàng)用來指定Snort記錄日志的目錄,默認(rèn)目錄是/var/log/snort���。例如��,你想將所有的日志文件記錄到/snort目錄下���,你應(yīng)當(dāng)用命令行選項(xiàng)“-l /snort”�。
-M 為使用這個(gè)選項(xiàng)�����,你應(yīng)當(dāng)指定一個(gè)文本文件����。這個(gè)文本文件中包含了一些你想發(fā)送信息的Windows主機(jī)的列表,每行只包括一個(gè)IP地址���。注意你可以用snort.conf文件達(dá)到同樣的目的,這將在后面解釋�。
-T 這個(gè)選項(xiàng)在你做測(cè)試和報(bào)告的時(shí)候是非常有用的。你可以用這個(gè)選項(xiàng)來找出配置文件中的錯(cuò)誤���。
除了表中列舉的��,還有一些不太常用的選項(xiàng)���,這些選項(xiàng)將在后面的相關(guān)部分到論���。一些命令行選項(xiàng)的功能也可以通過snort.conf來實(shí)現(xiàn)。
2.5 用源代碼編譯并安裝Snort的步驟總結(jié)
由RPM包安裝Snort是非常簡單的�,你只需要運(yùn)行一個(gè)命令就可以了:“rpm -install <snort_file_name.rpm>”。但正如已經(jīng)看到的���,如果你要用源代碼來安裝���,就要多做很多工作了。下面是對(duì)源代碼安裝步驟的總結(jié):
從http://www.下載源代碼文件���。
用“tar zxvf <filename.tar.gz>”命令解包tar文件�����。
運(yùn)行configure腳本�,典型的命令如:“configure –prefix=/opt/snort –with-mysql –with-snmp –with-opnssl”
運(yùn)行make命令�����。
運(yùn)行“make install”。
創(chuàng)建目錄/var/log/snort�。
創(chuàng)建目錄/opt/snort/etc。
創(chuàng)建目錄/opt/snort/rules���。
將snort.conf復(fù)制到/opt/snort/etc目錄中����。
將classifacation.config文件復(fù)制到/opt/snort/etc目錄中����。
將reference.config文件復(fù)制到/opt/snort/etc目錄中。
將所有的rules文件復(fù)制到/opt/snort/rules目錄中�。
創(chuàng)建snortd腳本文件并復(fù)制到/etc/init.d目錄中,并在/etc/rcx中創(chuàng)建鏈接�。這里x是運(yùn)行級(jí)別的數(shù)字。這樣Snort可以在系統(tǒng)啟動(dòng)的時(shí)候運(yùn)行���。
如果你要用MySQL與Snort一起工作�,那么在啟動(dòng)Snort前要啟動(dòng)MySQL�����。
2.6 Snort文件的位置
Snort文件分為下列類別:
n Snort的二進(jìn)制文件��,n 也就是可執(zhí)行文件��。
n Snort的主配置文件�,n 通常是snort.conf。
n Snort的其它配置文件����,n 如classification.config和reference.config。
n 規(guī)則文件����。
n 日志文件。
如果你用RPM包安裝Snort�����,它的二進(jìn)制文件通常會(huì)安裝在/usr/sbin目錄下�����。如果是編譯安裝���,安裝目錄有—prefix命令行選項(xiàng)指定�。
如 果你用RPM包安裝Snort��,主配置文件snort.conf將被安裝在/etc/snort目錄中。當(dāng)然��,你可以將這個(gè)文件保存在任何一個(gè)目錄中��,因 為在啟動(dòng)Snort的時(shí)候你可以用命令行選項(xiàng)來指定���。在本書的例子中�����,這個(gè)文件是存放在/opt/snort/etc目錄下的��。
其它配置文件如classification.config和reference.config通常存放在與snort.conf相同的目錄中����。在snort.conf文件中將指定這些文件的目錄�,你可以改變它。
規(guī)則文件在snort.conf中引用�����。如果你用RPM包安裝Snort�,那么rules文件也被安裝在/etc/snort目錄中。在本書的例子中��,用源代碼安裝��,這些文件被安裝在/opt/snort/rules
目錄中�����。通過修改snort.conf文件�����,你可以改變這些規(guī)則文件的位置���。
Snort 日志文件的位置可以通過snort.conf文件指定或者用命令行選項(xiàng)指定�。通常日志文件存放在/var/log/snort目錄中�����。如果這個(gè)目錄不存 在�����,你必須手工創(chuàng)建�。如果Snort從不同的主機(jī)記錄日志,它可以在/var/log/snort目錄中為每個(gè)主機(jī)創(chuàng)建目錄��。
例如,你可以在snort.conf中的如下一行修改日志文件的默認(rèn)路徑到/snortlog:
config logdir: /snortlog
你也可以在啟動(dòng)Snort的時(shí)候用命令行選項(xiàng)-l來改變?nèi)罩疚募哪夸?����。第三章中包括關(guān)于snort.conf文件的詳細(xì)討論��。
2.7 Snort的操作模式
Snort有兩種基本操作模式:包嗅探器模式和NIDS模式�。Snort可以用作類似于tcpdump 和snoop的嗅探器。在嗅探器模式��,Snort也可以將這些包的信息記錄到日志文件中����。這些文件隨后可以用Snort或者tcpdump察看。在這種模 式中����,Snort不會(huì)做任何入侵檢測(cè)活動(dòng)。這種模式的用處并非很大����,因?yàn)楝F(xiàn)在有很多可以記錄包的工具了。比如���,隨同Linux發(fā)行的tcpdump就是一 個(gè)效率很高的嗅探器���。
如果你將Snort用在網(wǎng)絡(luò)入侵檢測(cè)(NIDS)模式���,它會(huì)用規(guī)則來找出是否存在入侵活動(dòng)����。
2.7.1網(wǎng)絡(luò)嗅探器模式
Snort在網(wǎng)絡(luò)嗅探器模式下,與常用的tcpdump類似����。它可以捕獲網(wǎng)絡(luò)中的包并以不同的詳細(xì)程度將包的信息顯示在終端上。在這種模式下運(yùn)行Snort并不需要配置文件��。下面的命令將顯示網(wǎng)段中通行的每個(gè)包的信息:
[root@conformix snort]# /opt/snort/bin/snort -v
Initializing Output Plugins!
Log directory = /var/log/snort
Initializing Network Interface eth0
–== Initializing Snort ==–
Decoding Ethernet on interface eth0
–== Initialization Complete ==–
-*> Snort! <*-
Version 1.9.0 (Build 209)
By Martin Roesch (roesch@sourcefire.com, www.)
11/20-15:56:14.632067 192.168.1.100:2474 -> 192.168.1.2:22
TCP TTL:128 TOS:0×0 ID:4206 IpLen:20 DgmLen:40 DF
***A**** Seq: 0×9DAEEE9C Ack: 0xF5683C3A Win: 0×43E0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-15:56:14.632188 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57042 IpLen:20 DgmLen:200 DF
***AP*** Seq: 0xF5683C8A Ack: 0×9DAEEE9C Win: 0×6330 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-15:56:14.632519 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57043 IpLen:20 DgmLen:120 DF
***AP*** Seq: 0xF5683D2A Ack: 0×9DAEEE9C Win: 0×6330 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-15:56:14.633891 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57044 IpLen:20 DgmLen:184 DF
***AP*** Seq: 0xF5683D7A Ack: 0×9DAEEE9C Win: 0×6330 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Snort將不斷地在屏幕上顯示所捕獲的包的信息直到你用Crtl-C終止Snort,這時(shí)它將顯示統(tǒng)計(jì)信息����。
現(xiàn)在讓我們來分析Snort的嗅探器模式在屏幕上顯示的信息。下面是一個(gè)捕獲的典型的TCP包的輸出信息�����。
11/20-15:56:14.633891 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57044 IpLen:20 DgmLen:184 DF
***AP*** Seq: 0xF5683D7A Ack: 0×9DAEEE9C Win: 0×6330 TcpLen: 20
如果分析這個(gè)輸出信息�����,你可以得到以下關(guān)于這個(gè)包的信息:
這個(gè)包被捕獲的時(shí)間和日期。
源IP地址是192.168.1.2
源端口是22�����。
目的地址是192.168.1.100
目的端口是2474
這個(gè)包的傳輸層協(xié)議是TCP�。
IP頭中的TTL值是64。
TOS值是0×10�����。
IP頭的長度是20���。
IP載荷是184個(gè)字節(jié)��。
IP頭部中的DF位已被設(shè)置(不要分片)�。
兩個(gè)TCP flag被設(shè)置成on����。
TCP頭的sequence number是0xF5683D7A。
TCP頭的Ack number是0xDAEEE9C�。
TCP的窗口字段值是0×6330。
TCP頭部長度是20���。
你可以用更多的命令行選項(xiàng)來顯示更多關(guān)于所捕獲的包的信息���。下面的命令除了能夠顯示包的TCP����、UDP���、和ICMP信息以外�����,還能夠顯示一些應(yīng)用層信息。注意�����,這個(gè)命令并不能顯示包的所有信息����。
[root@conformix snort]# /opt/snort/bin/snort -dv
Initializing Output Plugins!
Log directory = /var/log/snort
Initializing Network Interface eth0
–== Initializing Snort ==–
Decoding Ethernet on interface eth0
–== Initialization Complete ==–
-*> Snort! <*-
Version 1.9.0 (Build 209)
By Martin Roesch (roesch@sourcefire.com, www.)
11/20-16:18:11.129548 192.168.1.100:2474 -> 192.168.1.2:22
TCP TTL:128 TOS:0×0 ID:4387 IpLen:20 DgmLen:40 DF
***A**** Seq: 0×9DAEF2FC Ack: 0xF5688CDA Win: 0×4190 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:18:11.129723 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57171 IpLen:20 DgmLen:120 DF
***AP*** Seq: 0xF5688D2A Ack: 0×9DAEF2FC Win: 0×6330 TcpLen: 20
C5 1D 81 8F 70 B7 12 0B C1 1B 8F 6D A9 8F 1D 05 ….p……m….
40 7D F9 BD 84 21 11 59 05 01 E4 A1 01 20 AC 92 @}…!.Y….. ..
58 50 73 8D 17 EA E2 17 AD 3A AD 54 E2 50 80 CB XPs……:.T.P..
DA E1 40 30 7B 63 0D 79 5A D8 51 07 93 95 2B A8 ..@0{c.yZ.Q…+.
F8 D4 F5 FA 76 D6 27 35 E8 6E E2 ED 41 2B 01 2D ….v.’5.n..A+.-
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:18:11.130802 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57172 IpLen:20 DgmLen:120 DF
***AP*** Seq: 0xF5688D7A Ack: 0×9DAEF2FC Win: 0×6330 TcpLen: 20
E9 7C 09 E0 E0 5C 3E 17 1C BE 93 1F B0 DA 92 40 .|…\>……..@
D1 18 71 52 80 F3 B2 F7 59 CE F7 7C D4 8F FD B4 ..qR….Y..|….
98 08 A9 63 63 23 0D C8 9D A4 4F 68 87 06 0D 16 …cc#….Oh….
44 61 09 CD FF FE 8B 1A 5B D8 42 43 1D 1A 6F A8 Da……[.BC..o.
14 90 C6 63 4C EE 9D 64 1B 90 CC 3A FB BD 7E E4 …cL..d…:..~.
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:18:11.131701 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57173 IpLen:20 DgmLen:120 DF
***AP*** Seq: 0xF5688DCA Ack: 0×9DAEF2FC Win: 0×6330 TcpLen: 20
AF CE 60 CB 79 06 BB 3D 58 72 76 F2 51 0F C1 9A ..`.y..=Xrv.Q…
22 5A E3 27 49 F8 A5 00 1B 5A 4F 24 12 0F BF 70 “Z.’I….ZO$…p
B7 81 A0 0C F9 EB 83 D1 33 EB C1 5A 2A E6 2E 4B ……..3..Z*..K
F1 98 FB 5A A9 C7 C3 92 78 B1 35 FF F7 59 CF B3 …Z….x.5..Y..
83 D2 E7 FF 37 F8 34 56 CD 0F 61 62 A9 16 A4 9F ….7.4V..ab….
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:18:11.133935 192.168.1.100:2474 -> 192.168.1.2:22
TCP TTL:128 TOS:0×0 ID:4388 IpLen:20 DgmLen:40 DF
***A**** Seq: 0×9DAEF2FC Ack: 0xF5688D7A Win: 0×40F0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:18:11.134057 192.168.1.2:22 -> 192.168.1.100:2474
TCP TTL:64 TOS:0×10 ID:57174 IpLen:20 DgmLen:280 DF
***AP*** Seq: 0xF5688E1A Ack: 0×9DAEF2FC Win: 0×6330 TcpLen: 20
A6 CF F9 B5 EA 24 E0 48 34 45 4B 57 5D FF CB B5 …..$.H4EKW]…
D6 C9 B3 26 3C 59 66 2C 55 EE C1 CF 09 AD 3A C2 …&<Yf,U…..:.
74 B6 61 D3 C5 63 ED BD 6F 51 0D 5E 18 44 07 AF t.a..c..oQ.^.D..
86 D2 8A 3F 82 F0 D2 84 5C A6 7F CC D5 7B 90 56 …?….\….{.V
93 CF CF 4D DE 03 00 4D E4 4B AD 75 3E 03 71 DC …M…M.K.u>.q.
A6 3D 78 DA 01 BF F0 33 46 7D E1 53 B5 62 94 9A .=x….3F}.S.b..
29 46 56 78 B1 73 C0 3E BB C0 EC 5C 6E D0 E6 BE )FVx.s.>…\n…
F9 5C 02 90 40 B1 BA 07 F1 96 2F A0 0F 9D E1 3E .\..@…../….>
8C 3C 40 07 B2 21 28 CA 2D 41 AC 5C 77 C6 D0 3F .<@..!(.-A.\w..?
73 0B 15 32 47 B5 CE E3 FB 83 B3 72 1A B4 64 9F s..2G……r..d.
6D C7 55 B8 6B DB FC AF 94 8F F3 58 B0 79 CF 14 m.U.k……X.y..
3F 9A FC 32 1D B6 21 B0 4D C3 64 82 C0 62 A8 8C ?..2..!.M.d..b..
80 C7 4A C8 BA D9 C3 0D 74 86 76 B8 49 8A 94 D1 ..J…..t.v.I…
4C F3 BF AF 55 3B 57 2B EA C7 48 B7 A4 BD B2 20 L…U;W+..H….
4A 66 B4 4E F3 2A 7E B6 F8 63 A8 61 42 F3 85 3B Jf.N.*~..c.aB..;
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
你可以用下面的命令來顯示包的所有信息。.
這個(gè)命令可以同時(shí)以ASCII方式和二進(jìn)制方式顯示包的信息���。
[root@conformix snort]# /opt/snort/bin/snort -dev
Initializing Output Plugins!
Log directory = /var/log/snort
Initializing Network Interface eth0
–== Initializing Snort ==–
Decoding Ethernet on interface eth0
–== Initialization Complete ==–
-*> Snort! <*-
Version 1.9.0 (Build 209)
By Martin Roesch (roesch@sourcefire.com, www.)
05/27-12:11:10.063820 0:D0:59:6C:9:8B -> FF:FF:FF:FF:FF:FF type:0×800
len:0xFC
192.168.1.100:138 -> 192.168.1.255:138 UDP TTL:128 TOS:0×0 ID:48572
IpLen:20 DgmLen:238
Len: 218
11 0E 82 D5 C0 A8 01 64 00 8A 00 C4 00 00 20 46 …….d…… F
43 46 43 43 4E 45 4D 45 42 46 41 46 45 45 50 46 CFCCNEMEBFAFEEPF
41 43 41 43 41 43 41 43 41 43 41 43 41 41 41 00 ACACACACACACAAA.
20 41 42 41 43 46 50 46 50 45 4E 46 44 45 43 46 ABACFPFPENFDECF
43 45 50 46 48 46 44 45 46 46 50 46 50 41 43 41 CEPFHFDEFFPFPACA
42 00 FF 53 4D 42 25 00 00 00 00 00 00 00 00 00 B..SMB%………
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….
00 00 11 00 00 2A 00 00 00 00 00 00 00 00 00 E8 …..*……….
03 00 00 00 00 00 00 00 00 2A 00 56 00 03 00 01 ………*.V….
00 01 00 02 00 3B 00 5C 4D 41 49 4C 53 4C 4F 54 …..;.\MAILSLOT
5C 42 52 4F 57 53 45 00 0C 00 A0 BB 0D 00 42 41 \BROWSE…….BA
54 54 4C 45 43 4F 57 53 00 00 00 00 01 00 03 0A TTLECOWS……..
00 10 00 80 D4 FE 50 03 52 52 2D 4C 41 50 54 4F ……P.RR-LAPTO
50 00 P.
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:20:38.459702 0:D0:59:6C:9:8B -> 0:50:BA:5E:EC:25 type:0×800
len:0×3C
192.168.1.100:2474 -> 192.168.1.2:22 TCP TTL:128 TOS:0×0 ID:4506
IpLen:20 DgmLen:40 DF
***A**** Seq: 0×9DAEFD9C Ack: 0xF568E2FA Win: 0×3F20 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/20-16:20:38.460728 0:50:BA:5E:EC:25 -> 0:D0:59:6C:9:8B type:0×800
len:0×86
192.168.1.2:22 -> 192.168.1.100:2474 TCP TTL:64 TOS:0×10 ID:57303
IpLen:20 DgmLen:120 DF
***AP*** Seq: 0xF568E34A Ack: 0×9DAEFD9C Win: 0×6BD0 TcpLen: 20
F9 7B 4B 96 3F C8 0A BC DF 9E EE 4F DA 27 6F B4 .{K.?……O.’o.
92 BD A7 C5 1D E4 35 AB DB BF 7B 56 B9 F8 BA A1 ……5…{V….
86 BB FE 6E FD 41 55 FF D0 51 04 AF 73 80 13 29 …n.AU..Q..s..)
D7 62 67 A4 B5 0C 5F 32 30 36 81 C2 9C 31 53 AD .bg…_206…1S.
3A 65 46 EE F1 52 59 ED 57 C7 6A 85 88 5A 3E D8 :eF..RY.W.j..Z>.
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
2.7.1.1用文本格式記錄Snort數(shù)據(jù)
你可以在命令行用-l <directory name>將Snort數(shù)據(jù)紀(jì)錄為文本模式�����。下面的命令會(huì)將所有的Snort數(shù)據(jù)記錄到/var/log/snort目錄下同時(shí)顯示在終端���。
snort –dev –l /var/log/snort
然后你會(huì)發(fā)現(xiàn)/var/log/snort目錄下面出現(xiàn)一些子目錄���,每個(gè)對(duì)應(yīng)一個(gè)主機(jī),其中包含一些文件��。子目錄的名稱通常與主機(jī)的IP地址相同���。其中的 文件是于不同的連接和不同類型的網(wǎng)絡(luò)數(shù)據(jù)�����。例如��,包含以TCP打頭的TCP數(shù)據(jù)���,如文件名:2489-23。一個(gè)包含ICMP數(shù)據(jù)的文件如: ICMP_ECHO���。當(dāng)你運(yùn)行Snort嗅探器的時(shí)候�����,日志中的內(nèi)容與顯示器上顯示的是相同的���。
2.7.1.2 以二進(jìn)制格式記錄Snort數(shù)據(jù)
在一個(gè)高速網(wǎng)絡(luò)環(huán)境中�����,將許多文件記錄成ASCII格式會(huì)導(dǎo)致過高的開銷�����。Snort允許你將數(shù)據(jù)記錄為tcpdump格式的二進(jìn)制文件以供隨后察看���。這時(shí)�����,Snort將所有的數(shù)據(jù)記錄成二進(jìn)制的raw格式�����。典型的命令如下:
snort –l /tmp –b
Snort將會(huì)在/tmp目錄下創(chuàng)建文件����,典型的文件名類似于:snort.log.1037840339��。文件名的最后一部分依賴于你的系統(tǒng)時(shí)鐘���。每次你在這種模式下運(yùn)行Snort,在日志目錄就會(huì)有一個(gè)新文件產(chǎn)生。有時(shí)把這種記錄模式稱為quick模式��。
你可以用Snort查看raw格式的二進(jìn)制文件���,用命令行開關(guān)-r來指定文件名����。下面的命令將顯示snort.log.1037840339中所部獲得數(shù)據(jù)�����。
snort -dev -r /tmp/snort.log.1037840339| more
這個(gè)命令的輸出與你在控制臺(tái)上實(shí)時(shí)看到的是相同的����。你可以用不同的命令行開關(guān)來以不同的詳細(xì)程度來顯示這些數(shù)據(jù)。
你也可以用命令顯示特定類型的數(shù)據(jù)�。下面的命令會(huì)顯示日志文件中的所有TCP數(shù)據(jù)。
snort -dev -r / tmp/snort.log.1037840339 tcp
顯示ICMP數(shù)據(jù)和UDP數(shù)據(jù)與之類似��。
你也可以用tcpdump來讀取Snort產(chǎn)生的二進(jìn)制數(shù)據(jù)。下面的命令將讀取并顯示Snort捕獲的數(shù)據(jù):
[root@conformix snort]# tcpdump -r /tmp/snort.log.1037840514
20:01:54.984286 192.168.1.100.2474 > 192.168.1.2.ssh: . ack 4119588794
win 16960 (DF)
20:01:54.984407 192.168.1.2.ssh > 192.168.1.100.2474: P 81:161(80) ack
0 win 32016 (DF) [tos 0×10]
20:01:54.985428 192.168.1.2.ssh > 192.168.1.100.2474: P 161:241(80) ack
0 win 32016 (DF) [tos 0×10]
20:01:54.986325 192.168.1.2.ssh > 192.168.1.100.2474: P 241:321(80) ack
0 win 32016 (DF) [tos 0×10]
20:01:54.988508 192.168.1.100.2474 > 192.168.1.2.ssh: . ack 161 win
16800 (DF)
20:01:54.988627 192.168.1.2.ssh > 192.168.1.100.2474: P 321:465(144)
ack 0 win 32016 (DF) [tos 0×10]
20:01:54.990771 192.168.1.100.2474 > 192.168.1.2.ssh: . ack 321 win
16640 (DF)
20:01:55.117890 192.168.1.100.2474 > 192.168.1.2.ssh: . ack 465 win
16496 (DF)
20:01:55.746665 192.168.1.1.1901 > 239.255.255.250.1900: udp 269
20:01:55.749466 192.168.1.1.1901 > 239.255.255.250.1900: udp 325
20:01:55.751968 192.168.1.1.1901 > 239.255.255.250.1900: udp 253
20:01:55.754145 192.168.1.1.1901 > 239.255.255.250.1900: udp 245
20:01:55.756781 192.168.1.1.1901 > 239.255.255.250.1900: udp 289
20:01:55.759258 192.168.1.1.1901 > 239.255.255.250.1900: udp 265
20:01:55.761763 192.168.1.1.1901 > 239.255.255.250.1900: udp 319
20:01:55.764365 192.168.1.1.1901 > 239.255.255.250.1900: udp 317
20:01:55.767103 192.168.1.1.1901 > 239.255.255.250.1900: udp 321
20:01:55.769557 192.168.1.1.1901 > 239.255.255.250.1900: udp 313
20:01:56.336697 192.168.1.100.2474 > 192.168.1.2.ssh: P 0:80(80) ack
465 win 16496 (DF)
[root@conformix snort]#
你可以用tcpdump的不同命令行選項(xiàng)來控制顯示�。用“man tcpdump”命令或者查看附錄A獲取更多tcpdump的信息。
2.7.2 網(wǎng)絡(luò)入侵監(jiān)測(cè)模式
在入侵檢測(cè)模式下�,Snort并不記錄所有捕獲的包,而是將包與規(guī)則比對(duì)�,僅當(dāng)包與某個(gè)規(guī)則匹配的時(shí) 候,才會(huì)記錄日志或產(chǎn)生告警�。如果包并不于任何一個(gè)規(guī)則匹配,那么它將被悄悄的丟棄��,并不做任何紀(jì)錄����。你在運(yùn)行Snort的入侵監(jiān)測(cè)模式的時(shí)候,通常會(huì)在 命令行指定一個(gè)配置文件�,這個(gè)文件包含一些規(guī)則和對(duì)其他包含規(guī)則的文件的引用,除此之外��,還有一些關(guān)于輸入和輸出插件的信息�,這些將在第4章討論��。配置文 件的名通常是snort.conf,在前面的安裝過程中我們已經(jīng)將配置文件snort.conf和其他一些文件保存在/opt/snort/etc目錄下 了�����。下面的命令將用來啟動(dòng)Snort的網(wǎng)絡(luò)入侵檢測(cè)(NID)模式:
snort -c /opt/snort/etc/snort.conf
當(dāng)你啟動(dòng)這個(gè)命令后,Snort將讀取配置文件/opt/snort/etc/snort.conf以及被其引用的所有規(guī)則文件���。通常這些文件包含 Snort規(guī)則和配置數(shù)據(jù)��。讀取這些數(shù)據(jù)后����,Snort將建立內(nèi)部數(shù)據(jù)結(jié)構(gòu)和規(guī)則鏈�����。所有被捕獲的數(shù)據(jù)將于這些規(guī)則比對(duì)����,并根據(jù)規(guī)則的要求做出相應(yīng)的動(dòng) 作。如果你修改snort.conf文件�,或者引用另外的文件,你必須重啟Snort使其生效����。
在IDS模式,還有一些其它的命令行選項(xiàng)與開關(guān) 可用���。例如��,你可以將日志記錄到文件���,也可以用命令顯示���。如果將Snort用作長期監(jiān)測(cè),那么日志越多�����,你需要的磁盤空間就越大�,將日志顯示在終端上也會(huì) 消耗一些主機(jī)的處理能力,因此�����,在何處運(yùn)行Snort也是需要考慮的����。下面的命令將使Snort工作在IDS模式,并同時(shí)作為嗅探器將日志記錄到 /var/log/snort目錄下����。
snort -dev -l /var/log/snort -c /etc/snort/snort.conf
但在很多實(shí)際應(yīng)用情況下��,你會(huì)使用命令行開關(guān)-D使Snort以守護(hù)進(jìn)程的方式運(yùn)行,而不再終端上紀(jì)錄�。
通常的情況,你會(huì)希望將Snort日志數(shù)據(jù)記錄到數(shù)據(jù)庫��,我們將在第5章討論將Snort日志信息記錄到MySQL數(shù)據(jù)庫的情況��。
2.8 Snort的告警模式
當(dāng)Snort運(yùn)行在NID模式下�,如果捕獲的包與規(guī)則匹配,Snort可以以多種模式產(chǎn)生告警���。這些模 式可以通過snort.conf來配置����,也可以用命令行配置���。這一部分將介紹常用的告警模式����。為方便介紹�,我會(huì)用一個(gè)在Snort檢測(cè)到TTL值為100 的ICMP包時(shí)會(huì)產(chǎn)生告警的規(guī)則,如下:
alert icmp any any -> any any (msg: “Ping with TTL=100″; \
ttl:100;)
規(guī)則將在下一章詳細(xì)討論��,對(duì)本次討論來說�,你只要知道這個(gè)規(guī)則將在遇到TTL為100的ICMP包的時(shí)候產(chǎn)生一個(gè)包含“Ping with TTL=100”文字信息的告警就可以了�。這個(gè)規(guī)則并不關(guān)心包中的源地址或目的地址�。我在我的Windows機(jī)器上用下面的命令來發(fā)送一個(gè)TTL=100 的ICMP echo包。
C:\rrehman>ping -n 1 -i 100 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Reply from 192.168.1.3: bytes=32 time=3ms TTL=255
Ping statistics for 192.168.1.3:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 3ms, Average = 3ms
C:\rrehman>
命令行選項(xiàng)“-n 1”用來指定僅僅發(fā)送一個(gè)ICMP包�。“-i 100”用來使ICMP包中的TTL值等于100?�?梢栽?a href="ftp://ftp.isi.edu/in-notes/rfc792/rfc792.txt">ftp://ftp.isi.edu/in-notes/rfc792/rfc792.txt或者本書的附錄C參考關(guān)于ICMP包頭部格式的詳細(xì)信息�����。
當(dāng)運(yùn)行上面的命令的時(shí)候����,Snort將捕獲到這個(gè)數(shù)據(jù)包并產(chǎn)生一個(gè)告警。告警所紀(jì)錄的信息的多少將依賴于特定的告警模式�。下面我們來看在對(duì)一個(gè)包紀(jì)錄的時(shí)候不同的告警模式的差異:
2.8.1 Fase模式
Fast高靜默使將記錄以下告警信息:
時(shí)間戳
告警消息(通過規(guī)則配置)
源地址和目的地址
源端口和目的端口
應(yīng)當(dāng)用命令行選項(xiàng)“-A fast”來配置fase告警模式,這種告警模式的系統(tǒng)開銷比較小�����。下面的命令用fast告警模式啟動(dòng)Snort:
/opt/snort/bin/snort -c /opt/snort/etc/snort.conf -q -A fast
選項(xiàng)-q用來停止在屏幕顯示初始化信息和最后的匯總統(tǒng)計(jì)?,F(xiàn)在,如果產(chǎn)生一個(gè)告警����,它將被記錄到/var/log/snort/alert文件中����,當(dāng)然��,你可以用命令行選項(xiàng)-l來改變它的位置���。告警信息類似如下所示:
05/28-22:16:25.126150 [**] [1:0:0] Ping with TTL=100 [**]
{ICMP} 192.168.1.100 -> 192.168.1.3
這個(gè)告警包含下面的信息:
告警產(chǎn)生的日期和時(shí)間。
表示在規(guī)則中的告警消息����,在這個(gè)例子中,這個(gè)消息就是:“Ping with TTL=100”.
源地址是192.168.1.100�。
目的地址是192.168.1.3
包的類型,在上面的例子中�,包的類型是ICMP。
2.8.2 Full模式
這是默認(rèn)的告警模式���,除了輸出告警信息之外�,還有包的頭部信息���。我們可以用下面的命令使Snort具有full告警模式�����。
/opt/snort/bin/snort -c /opt/snort/etc/snort.conf -q -A full
當(dāng)Snort工作在這種告警模式下的時(shí)候��,在/var/log/snort/alert中記錄的信息類似于如下:
[**] [1:0:0] Ping with TTL=100 [**]
05/28-22:14:37.766150 192.168.1.100 -> 192.168.1.3
ICMP TTL:100 TOS:0×0 ID:40172 IpLen:20 DgmLen:60
Type:8 Code:0 ID:768 Seq:20224 ECHO
正如你看到的�����,日志中記錄了附加的信息����,這些信息顯示包頭中的不同的值,包括:
IP包頭部的TTL值�。在ftp://ftp.isi.edu/in-notes/rfc791.txt參考RFC791獲取關(guān)于TTL的詳細(xì)信息
IP包頭部的TOS值,參考RFC791或本書附錄A獲取TOS的詳細(xì)信息�����。
IP頭長度��,顯示為:IpLen:20����。
IP包總長,顯示為:DgmLen:60�����。
ICMP類型段,參考RFC792獲取ICMP類型段的詳細(xì)信息����。
ICMP代碼段,參考RFC792獲取ICMP代碼段的詳細(xì)信息�����。
IP包的ID�����。
序列號(hào)��。
ICMP包的類型:ECHO��。
2.8.3 UNIX套接字模式
你可以用命令行選項(xiàng)“-a unsock”使Snort將通過UNIX套接字將告警發(fā)送到其他的程序�����。如果你想進(jìn)一步處理Snort告警�,這將非常有用�。你可以用“man socket”命令來查看套接字的更多信息。
2.8.4無告警模式
你可以用命令行選項(xiàng)“-A none”將Snort告警完全關(guān)閉。這在高速網(wǎng)絡(luò)環(huán)境應(yīng)用統(tǒng)一日志的情況下是非常有用的��。你可以在用統(tǒng)一日志的時(shí)候關(guān)閉普通日志選項(xiàng)��。統(tǒng)一日志輸出插件將在第4章中討論���。
2.8.5 將告警發(fā)送到Syslog
下 面的命令允許Snort將告警發(fā)送到Syslog守護(hù)進(jìn)程��。Syslog是產(chǎn)生系統(tǒng)事件日志的守護(hù)進(jìn)程�,它將讀取配置文件 /etc/syslog.conf取得記錄日志文件的位置�����,這個(gè)位置通常是/var/log目錄���,在Linux系統(tǒng)中��,主日志文件是 /var/log/messages�����。用“man syslog”命令來獲得更多的信息����,這個(gè)命令會(huì)顯示syslog.conf文件的格式信息。
根據(jù)/etc/syslog.conf文件中的配置����,告警獎(jiǎng)杯記錄到一個(gè)特定文件中。下面的命令可以使Snort將日志記錄到Syslog守護(hù)進(jìn)程:
/opt/snort/bin/snort -c /opt/snort/etc/snort.conf -s
在我的RedHat 7.1計(jì)算機(jī)上��,使用的是默認(rèn)配置�����,信息會(huì)被記錄到/var/log/messages文件中����。當(dāng)你用TTL=100的ICMP產(chǎn)生告警時(shí)���,/var/log/messages文件中將記錄下面的信息:
May 28 22:21:02 snort snort[1750]: [1:0:0] Ping with TTL=100
{ICMP} 192.168.1.100 -> 192.168.1.3
本書的第4章將討論使用Syslog工具�����,同時(shí)���,你將了解如何用輸出插件記錄日志到Syslog。
2.8.6 向SNMP發(fā)送告警
Snort的一個(gè)非常有用的特性是SNMP trap����。你可以配置一個(gè)輸出插件���,可以將信息以SNMP trap的形式發(fā)送到網(wǎng)絡(luò)管理系統(tǒng)。通過這個(gè)特性���,你可以將你的入侵檢測(cè)探測(cè)器整合到類似于HP OpenView,OpenNMS�,MRTG等集中的網(wǎng)管系統(tǒng)中���。Snort配置SNMP trap的配置過程將在后面詳細(xì)討論�����。
2.8.7向Windows發(fā)送告警
Snort 可以以彈出窗口的形式向Windows及其發(fā)出告警��,在windows中�����,彈出窗口由Windows信使服務(wù)控制���。為使彈出窗口工作,Windows必須 要運(yùn)行信使服務(wù)�。你可以到控制面板的服務(wù)程序來看Window信使服務(wù)是否在運(yùn)行��。服務(wù)選項(xiàng)在你的管理工具菜單中�����,根據(jù)你的Windows版本的不同�����,也 可能在控制面板或其他的位置���。
在你的Unix機(jī)器上,必須要安裝SAMBA客戶端軟件包��。SAMBA是在UNIX下可以與Windows共享文件和打印機(jī)的開放源碼軟件包�。它也可以與其它運(yùn)行CIFS和SMB協(xié)議的操作系統(tǒng)共同工作���。你可以在http://www.取得關(guān)于SAMBA的更多信息����。
Snort 告警機(jī)制利用UNIX的smb客戶端程序來連接Windows信息并發(fā)送告警�。當(dāng)你使用這項(xiàng)服務(wù)之前,先確定SAMBA客戶端是否正常工作�����。在 RedHat系統(tǒng)中,SAMBA的操作依賴于配置文件/etc/samba/smb.conf�����,在其他的Unix系統(tǒng)中���,這個(gè)文件也許會(huì)在不同的位置��。盡 管SAMBA的詳細(xì)討論已經(jīng)超過了本書涉及的范圍�����,還是在下面列舉一個(gè)SAMBA配置的樣本文件�。這個(gè)文件可以用來配置smb使之生效�����,它創(chuàng)建一個(gè)可以在 Windows機(jī)器上看到的REHMAN工作組��。
2.8.7.1 Samba配置文件樣本
/etc/smba/smb.conf的樣本文件如下:
[global]
workgroup = REHMAN
server string = REHMAN file server
log file = /var/log/samba/log.%m
max log size = 50
security = user
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = no
domain logons = no
unix password sync = no
map to guest = never
password level = 0
null passwords = no
os level = 0
preferred master = yes
domain master = yes
wins support = yes
dead time = 0
debug level = 0
load printers = yes
[homes]
comment = Home Directories
browseable = yes
writable = yes
available = yes
public = yes
only user = no
[htmldir]
comment = html stuff
path = /home/httpd/html
public = yes
writable = yes
printable = no
write list = rehman
[virtualhosting]
comment = html stuff
path = /usr/virt_web
public = yes
writable = yes
printable = no
write list = rehman
[printers]
[netlogon]
available = no
關(guān)于SMB告警的更多信息將在后面的章節(jié)中出現(xiàn)����。注意���,如果你想用這個(gè)功能,你應(yīng)該在編譯Snort的時(shí)候用—with-sabalerts的選項(xiàng)��,否則Snort就不能用SAMBA服務(wù)來工作���。
2.9 在隱秘模式下運(yùn)行Snort
在某些情況下�����,你會(huì)希望在隱秘模式下運(yùn)行Snort,這樣其他的主機(jī)不會(huì)探測(cè)到Snort機(jī)器的 存在���,換句話說,Snort對(duì)于入侵者或其他人是不可見的���。有多種方法可以使Snort在隱秘模式下運(yùn)行����。其中之一是在沒有配置IP地址的接口上運(yùn)行 Snort��,這適合于下列兩種情況:
只有一個(gè)網(wǎng)絡(luò)適配器的獨(dú)立Snort探測(cè)器�����。
一個(gè)安裝了兩個(gè)網(wǎng)絡(luò)適配器的Snort探測(cè)器:一個(gè)用來在孤立的網(wǎng)絡(luò)上用來訪問探測(cè)器�����,另外一個(gè)連接到公眾網(wǎng)絡(luò)并在隱秘模式運(yùn)行Snort����。這種方法如圖2-3所示:網(wǎng)絡(luò)接口eth1連接到孤立的私有網(wǎng)絡(luò),eth0連接到公眾網(wǎng)絡(luò)�����。
當(dāng)你想訪問探測(cè)器的時(shí)候�����,要通過具有IP地址的網(wǎng)絡(luò)接口eth1����。圖中所示的管理工作站可以用來連接到探測(cè)器,以收集數(shù)據(jù)��,或?qū)⑿畔⒓o(jì)錄到運(yùn)行在本機(jī)或其他連接到本機(jī)的數(shù)據(jù)庫服務(wù)器的中央數(shù)據(jù)庫�����。
連接到Internet的網(wǎng)絡(luò)接口eth0上沒有配置IP地址,它運(yùn)行在隱秘模式下�,但是仍然可以監(jiān)聽此段網(wǎng)絡(luò)的數(shù)據(jù)流。
在eth0上運(yùn)行Snort之前���,你必須將它激活�����,在Linux系統(tǒng)中�,你可以用下面的命令來實(shí)現(xiàn):
ifconfig eth0 up
這個(gè)命令可以使接口在沒有IP地址的情況下可用�,然后,你可以用“-i eth0”的命令行選項(xiàng)在這個(gè)接口啟動(dòng)Snort:
snort -c /opt/snort/etc/snort.conf -i eth0 -D
