إعداد Barnyard 2 مع Snort

Barnyard2 هو طريقة لتخزين ومعالجة المخرجات الثنائية من Snort إلى قاعدة بيانات MySQL.

قبل أن نبدأ

يرجى ملاحظة أنه إذا لم يكن لديك snort مثبتًا على نظامك ، فلدينا دليل لتثبيت snort على أنظمة دبيان . يجب أن يكون لديك snort مثبتًا حتى يعمل هذا النظام.

التحديث والترقية وإعادة التشغيل

قبل أن نضع أيدينا بالفعل في مصادر Snort (S) ، نحتاج إلى التأكد من تحديث نظامنا. يمكننا القيام بذلك عن طريق إصدار الأوامر أدناه.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

التكوين قبل التثبيت

إذا لم يكن لديك MySQL مثبتًا يمكنك تثبيته باستخدام الأمر التالي ،

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

إذا لم يكن لديك نظام كشف التسلل (IDS) Snort مثبتًا ومهيئًا ، فيرجى الرجوع إلى وثائق تثبيت الوثائق

إعداد Barnyard2

لتثبيت Barnyard ، نحتاج إلى الحصول على المصدر من صفحة github الخاصة بـ Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

الآن بعد أن أصبح لدينا مصدر الفناء ، نحتاج إلى autoreconfالفناء.

sudo autoreconf -fvi -I ./m4
تحديث مراجع مكتبة النظام

بمجرد الانتهاء من ذلك ، يجب إنشاء ارتباط رمزي إلى مكتبة dumbnet كـ dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

نظرًا لأننا أنشأنا بشكل أساسي مكتبة نظام جديدة ، يتعين علينا تحديث ذاكرة التخزين المؤقت لمكتبة النظام. يمكن القيام بذلك عن طريق إصدار الأمر التالي:

sudo ldconfig
تكوين Barnyard2 ل MySQL

هذا الجزء مهم لأنه يعتمد على ما إذا كان نظامك هو نظام 64 بت أو نظام 32 بت.

إذا لم تكن متأكدًا مما إذا كان نظامك هو 64 بت أو 32 بت ، فيمكنك إما استخدامه uname -mأو archتحقيق ذلك.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

لذلك يجب أن يبدو هذا التكوين ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install
نسخ التكوينات

من أجل إعداد الفناء بشكل صحيح والسماح له بالعمل مع نظامنا ، نحتاج إلى نسخ ملفات التكوين الخاصة بنا. أيضًا ، يرجى ملاحظة أنه بينما قمت باختبار هذا ، كان علي إنشاء دليل سجل لـ barnyard2 وإلا فإنه سيفشل.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark
إنشاء قاعدة البيانات

الآن بعد أن تم إنشاء مثيل الفناء الخاص بنا في الغالب ، نحتاج إلى إنشاء قاعدة بيانات وربطها بإعدادنا.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;
تكوين الفناء للاستخدام مع MySQL

في حالة عدم حدوث تغيير كلمة المرور في الأمر أعلاه ، يمكنك إعادة تعيين كلمة المرور عن طريق إعادة إدخال الأمر mysql وإدخال

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

في الجزء السفلي من ملفك ، /etc/snort/barnyard2.confأضف ما يلي وعدّل كلمة المرور لما قمت بتعيينه أعلاه.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

لأغراض أمنية ، نحتاج إلى قفل ملف barnyard.conf لأنه يحتوي على كلمة مرور قاعدة البيانات الخاصة بك في نص واضح.

sudo chmod o-r /etc/snort/barnyard2.conf

اختبارات

يمكنك اختبار snort من خلال تشغيله في وضع التنبيه باستخدام ملف التكوين الخاص بك.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

بمجرد تشغيل snort ، افتح محطة طرفية أخرى وقم بتنفيذ الأمر ping على عنوان هذا النظام ، يجب أن تكون قادرًا على رؤية الرسائل على جهازك الرئيسي.

الآن بعد أن حصلت على بعض البيانات في سجلات snort الخاصة بك ، يجب أن تكون قادرًا على اختبار الفناء مقابلها.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

هذه الأعلام تعني في الأساس ما يلي.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

بعد بدء الفناء ، Waiting for new dataيظهر مرة واحدة أنه يمكنك إنهاء التطبيق بالضغط ctrl + cالآن للتحقق من قاعدة بيانات MySQL الخاصة بك عن طريق تسجيل الدخول مرة أخرى إلى خادم MySQL وتحديد الكل من eventالجدول في snortقاعدة البيانات الخاصة بك .

mysql -u snort -p snort
select count(*) from event;

طالما أن العد أكثر من 0 كل شيء يعمل بشكل صحيح!

ومع ذلك ، إذا كان العدد IS 0 ، فمن المحتمل أنك إما تقوم بضغط نظامك من نظام يتطابق مع عنوان IP مدرج في القائمة البيضاء. إذا كان هذا هو الحال ، فحاول تنفيذ الأمر ping على نظامك من خارج شبكتك والتأكد من تعرضه للعالم الخارجي.

تهانينا ، لديك الآن طريقة لقراءة الاقتحامات المكتشفة وتتبعها.

اترك تعليقاً

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد