Snort adalah sistem pengesanan pencerobohan rangkaian percuma (IDS). Dalam istilah yang kurang rasmi, ini membolehkan anda memantau rangkaian anda untuk aktiviti yang mencurigakan dalam masa nyata . Pada masa ini, Snort mempunyai pakej untuk sistem berasaskan Fedora, CentOS, FreeBSD, dan Windows. Kaedah pemasangan tepat berbeza antara OS. Dalam tutorial ini, kami akan memasang terus dari fail sumber untuk Snort. Panduan ini ditulis untuk Debian.
Sebelum kita benar-benar memanfaatkan sumber Snort, kita perlu memastikan bahawa sistem kita terkini. Kita boleh melakukan ini dengan mengeluarkan arahan di bawah.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
Setelah sistem anda dihidupkan semula, kami perlu memasang sebilangan pakej untuk memastikan bahawa kami dapat memasang SBPP. Saya dapat mengetahui sebilangan paket yang diperlukan, jadi arahan asasnya ada di bawah.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
Setelah semua pakej dipasang, anda perlu membuat direktori sementara untuk fail sumber anda - ia boleh berada di mana sahaja yang anda mahukan. Saya akan menggunakan /usr/src/snort_src. Untuk membuat folder ini, anda perlu log masuk sebagai rootpengguna, atau mempunyai sudoizin - rootmemudahkannya.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
Sebelum kita mendapatkan sumber Snort, kita perlu memasang DAQ. Ia cukup mudah dipasang.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Ekstrak fail dari tarball.
tar xvfz daq-2.0.6.tar.gz
Tukar ke direktori DAQ.
cd daq-2.0.6
Konfigurasikan dan pasang DAQ.
./configure; make; sudo make install
Baris terakhir itu, akan dilaksanakan ./configureterlebih dahulu. Maka ia akan dilaksanakan make. Terakhir, ia akan dilaksanakan make install. Kami menggunakan sintaks yang lebih pendek di sini hanya untuk menjimatkan sedikit masa menaip.
Kami ingin memastikan kami berada di /usr/src/snort_srcdirektori lagi, jadi pastikan untuk menukar ke direktori tersebut dengan:
cd /usr/src/snort_src
Sekarang kita berada di direktori untuk sumbernya, kita akan memuat turun tar.gzfail untuk sumbernya. Pada masa penulisan ini, Snort versi terbaru adalah 2.9.8.0.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
Perintah untuk benar-benar memasang snort sangat serupa dengan yang digunakan untuk DAQ, tetapi mereka mempunyai pilihan yang berbeza.
Ekstrak fail sumber Snort.
tar xvfz snort-2.9.8.0.tar.gz
Tukar ke direktori sumber.
cd snort-2.9.8.0
Konfigurasikan dan pasang sumbernya.
./configure --enable-sourcefire; make; sudo make install
Setelah kami memasang Snort, kami perlu memastikan bahawa perpustakaan bersama kami terkini. Kita boleh melakukan ini dengan menggunakan arahan:
sudo ldconfig
Setelah kami melakukannya, uji pemasangan Snort anda:
snort --version
Sekiranya arahan ini tidak berfungsi, anda perlu membuat symlink. Anda boleh melakukannya dengan menaip:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
Output yang dihasilkan akan menyerupai yang berikut:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Sekarang kita telah memasang snort, kita tidak ingin berjalan seperti itu root, jadi kita perlu membuat snortpengguna dan kumpulan. Untuk membuat pengguna dan kumpulan baru, kami dapat menggunakan dua perintah berikut:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Oleh kerana kita telah memasang program menggunakan sumbernya, kita perlu membuat fail konfigurasi dan peraturan untuk mendengus.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
Setelah kita membuat direktori dan peraturan, kita sekarang perlu membuat direktori log.
sudo mkdir /var/log/snort
Dan terakhir, sebelum kita dapat menambahkan peraturan, kita memerlukan tempat untuk menyimpan peraturan dinamik.
sudo mkdir /usr/local/lib/snort_dynamicrules
Setelah semua fail sebelumnya dibuat, tetapkan kebenaran yang sesuai padanya.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
Untuk menjimatkan banyak masa dan tidak perlu menyalin dan menempelkan semuanya, mari kita salin semua fail ke dalam direktori konfigurasi.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
Setelah fail konfigurasi ada, anda boleh melakukan salah satu daripada dua perkara:
Walau apa pun, anda masih mahu mengubah beberapa perkara. Teruskan membaca.
Dalam /etc/snort/snort.conffail, anda perlu menukar pemboleh ubah HOME_NET. Ia harus diset ke blok IP rangkaian dalaman anda sehingga tidak akan mencuba percubaan rangkaian anda sendiri untuk masuk ke pelayan. Ini mungkin 10.0.0.0/24atau 192.168.0.0/16. Pada baris 45 /etc/snort/snort.confubah pemboleh ubah HOME_NETke nilai blok IP rangkaian anda.
Di rangkaian saya, kelihatan seperti ini:
ipvar HOME_NET 192.168.0.0/16
Kemudian, anda harus menetapkan EXTERNAL_NETpemboleh ubah ke:
any
Yang berubah EXERNAL_NETmenjadi apa sahaja yang anda HOME_NETtidak.
Sekarang setelah sebahagian besar sistem disiapkan, kita perlu mengkonfigurasi peraturan kita untuk babi kecil ini. Tempat di sekitar talian 104 dalam anda /etc/snort/snort.conffail, anda akan dapat melihat "var" pengisytiharan dan pembolehubah RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, dan BLACK_LIST_PATH. Nilai-nilai mereka harus ditetapkan ke jalan yang kita gunakan Un-rooting Snort.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Setelah nilai-nilai tersebut ditetapkan, hapus atau komen peraturan semasa bermula pada baris 548.
Sekarang, mari kita periksa untuk memastikan bahawa konfigurasi anda betul. Anda boleh mengesahkannya dengan snort.
# snort -T -c /etc/snort/snort.conf
Anda akan melihat output yang serupa dengan yang berikut (dipotong untuk jangka pendek).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
Setelah semuanya dikonfigurasi tanpa ralat, kami sudah siap untuk memulakan pengujian Snort.
Cara termudah untuk menguji Snort adalah dengan mengaktifkan local.rules. Ini adalah fail yang mengandungi peraturan khusus anda.
Sekiranya anda perhatikan dalam snort.conffail, di sekitar baris 546, baris ini wujud:
include $RULE_PATH/local.rules
Sekiranya anda tidak memilikinya, sila tambahkan sekitar 546. Anda kemudian boleh menggunakan local.rulesfail untuk ujian. Sebagai ujian asas, saya hanya mempunyai Snort melacak permintaan ping (permintaan ICMP). Anda boleh melakukannya dengan menambahkan baris berikut ke local.rulesfail anda .
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
Setelah anda memasukkannya ke dalam fail anda, simpan dan teruskan membaca.
Perintah berikut akan memulakan Snort dan mencetak amaran "mod pantas", ketika pengguna mendengus, di bawah kumpulan mendengus, menggunakan konfigurasi /etc/snort/snort.conf, dan akan didengarkan di antara muka rangkaian eno1. Anda perlu menukar eno1ke antara muka rangkaian apa pun yang didengarkan oleh sistem anda.
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
Setelah anda menjalankannya, ping komputer itu. Anda akan mula melihat output seperti berikut:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
Anda boleh menekan Ctrl + C untuk keluar dari program, dan itu saja. Snort sudah siap. Anda sekarang boleh menggunakan peraturan yang anda mahukan.
Akhir sekali, saya ingin ambil perhatian bahawa terdapat beberapa peraturan awam yang dibuat oleh komuniti yang boleh anda muat turun dari laman web rasmi di bawah tab "Komuniti". Cari "Snort", kemudian di bawahnya ada pautan komuniti. Muat turun, ekstrak, dan cari community.rulesfailnya.
NFS adalah sistem fail berasaskan rangkaian yang membolehkan komputer mengakses fail di seluruh rangkaian komputer. Panduan ini menerangkan bagaimana anda boleh mendedahkan folder di atas NF
Pengenalan MySQL mempunyai ciri hebat yang dikenali sebagai pandangan. Paparan adalah pertanyaan yang disimpan. Anggap mereka sebagai alias untuk pertanyaan yang panjang. Dalam panduan ini,
Artikel ini akan mengajar anda cara menyediakan penjara chroot di Debian. Saya menganggap bahawa anda menggunakan Debian 7.x. Sekiranya anda menjalankan Debian 6 atau 8, ini mungkin berfungsi,
Pengenalan Cara mudah untuk menyediakan pelayan VPN di Debian adalah dengan PiVPN. PiVPN adalah pemasang dan pembungkus untuk OpenVPN. Ini membuat perintah mudah untuk anda
Menggunakan Sistem Berbeza? Sejak GitHub diambil alih oleh Microsoft, sebilangan besar pembangun telah merancang untuk memindahkan repositori kod mereka sendiri dari github.co
PBX In A Flash 5 (PIAF5) adalah sistem operasi berasaskan Debian 8 yang menjadikan Vultr VPS anda menjadi PBX lengkap. Ia mempunyai ciri-ciri berikut, dan banyak lagi.
Menggunakan Sistem Berbeza? Brotli adalah kaedah pemampatan baru dengan nisbah mampatan yang lebih baik daripada Gzip. Kod sumbernya dihoskan secara umum di Github. Thi
Pengenalan Lynis adalah alat audit sistem sumber terbuka yang percuma yang digunakan oleh banyak pentadbir sistem untuk mengesahkan integriti dan mengeraskan sistem mereka. Saya
Menggunakan Sistem Berbeza? Neos adalah Platform Aplikasi Kandungan dengan CMS dan kerangka aplikasi di terasnya. Panduan ini akan menunjukkan cara pemasangan
Menggunakan Sistem Berbeza? InvoicePlane adalah aplikasi invois sumber bebas dan terbuka. Kod sumbernya boleh didapati di repositori Github ini. Panduan ini
Menggunakan Sistem Berbeza? BookStack adalah platform yang mudah dihoskan sendiri, mudah digunakan untuk mengatur dan menyimpan maklumat. BookStack adalah percuma dan terbuka
Menggunakan Sistem Berbeza? Matomo (dahulunya Piwik) adalah platform analitik sumber terbuka, alternatif terbuka kepada Google Analytics. Sumber Matomo dihoskan o
Menggunakan Sistem Berbeza? X-Cart adalah platform eCommerce sumber terbuka yang sangat fleksibel dengan banyak ciri dan integrasi. Kod sumber X-Cart adalah hoste
Munin adalah alat pemantauan untuk meninjau proses dan sumber di mesin anda dan menyampaikan maklumat dalam grafik melalui antara muka web. Gunakan ikutan
Menggunakan Sistem Berbeza? Tiny Tiny RSS Reader adalah pembaca berita dan agregator suapan berita (RSS / Atom) berasaskan laman web bebas dan terbuka sumber bebas dan terbuka, yang direka untuk semua
Pengenalan Dalam tutorial ini, kita akan membahas proses penambahan keseluruhan rangkaian / subnet IP ke pelayan Linux yang menjalankan CentOS, Debian, atau Ubuntu. Proses
Dalam panduan ini, kami akan menyiapkan Counter Strike: Server permainan sumber di Debian 7. Perintah ini diuji pada Debian 7 tetapi mereka juga harus berfungsi
Menggunakan Sistem Berbeza? MODX Revolution adalah Sistem Pengurusan Kandungan (CMS) bertaraf perusahaan yang pantas, fleksibel, berskala, bebas dan terbuka, bertulis i
Menggunakan Sistem Berbeza? Dolibarr adalah perancangan sumber perusahaan sumber terbuka (ERP) dan pengurusan hubungan pelanggan (CRM) untuk perniagaan. Dolibarr
Pengenalan Mailcow adalah suite mailserver ringan berdasarkan pelbagai pakej, seperti DoveCot, Postfix dan banyak pakej sumber terbuka yang lain. Mailcow dll
Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1
Ramai daripada anda tahu Switch akan keluar pada Mac 2017 dan ciri baharunya. Bagi yang tidak tahu, kami telah menyediakan senarai ciri yang menjadikan 'Tukar' sebagai 'gajet yang mesti ada'.
Adakah anda menunggu gergasi teknologi memenuhi janji mereka? semak apa yang masih belum dihantar.
Baca blog untuk mengetahui lapisan berbeza dalam Seni Bina Data Besar dan fungsinya dengan cara yang paling mudah.
Baca ini untuk mengetahui cara Kecerdasan Buatan semakin popular di kalangan syarikat berskala kecil dan cara ia meningkatkan kebarangkalian untuk menjadikan mereka berkembang dan memberikan pesaing mereka kelebihan.
CAPTCHA telah menjadi agak sukar untuk diselesaikan oleh pengguna dalam beberapa tahun kebelakangan ini. Adakah ia dapat kekal berkesan dalam pengesanan spam dan bot pada masa hadapan?
Apabila Sains Berkembang pada kadar yang pantas, mengambil alih banyak usaha kita, risiko untuk menundukkan diri kita kepada Ketunggalan yang tidak dapat dijelaskan juga meningkat. Baca, apakah makna ketunggalan bagi kita.
Apakah teleperubatan, penjagaan kesihatan jauh dan impaknya kepada generasi akan datang? Adakah ia tempat yang baik atau tidak dalam situasi pandemik? Baca blog untuk mencari paparan!
Anda mungkin pernah mendengar bahawa penggodam memperoleh banyak wang, tetapi pernahkah anda terfikir bagaimana mereka memperoleh wang seperti itu? Mari berbincang.
Baru-baru ini Apple mengeluarkan macOS Catalina 10.15.4 kemas kini tambahan untuk menyelesaikan masalah tetapi nampaknya kemas kini itu menyebabkan lebih banyak masalah yang membawa kepada pemusnahan mesin mac. Baca artikel ini untuk mengetahui lebih lanjut
