Snort***檢測系統安裝配置

                        Snort***檢測系統安裝配置

snort有三種工做模式：嗅探器、數據包記錄器、***檢測系統。作嗅探器時，它只讀取網絡中傳輸的數據包，而後顯示在控制檯上。做數據包記錄器時，它能夠將數據包記錄到硬盤上，已備分析之用。***檢測模式功能強大，可經過配置實現，但稍顯複雜，snort能夠根據用戶事先定義的一些規則分析網絡數據流，並根據檢測結果採起必定的動做 

一．嗅探器配置

    1.配置源碼安裝開發環境

      [root@localhost ~]# yum groupinstall "Legacy Software Support" "X Software Development" "Development Libraries" "Development Tools" -y

2.snort安裝，自行下載rpm包

      [root@localhost ~]# rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm

嗅探器的功能比較單一，只是讀取網絡中的數據包，這樣只須要安裝snort就能夠了，咱們能夠測試下snort的運行

[root@localhost ~]# snort -v             //能夠看到以下內容

Running in packet dump mode

        --== Initializing Snort ==--

Initializing Output Plugins!

Verifying Preprocessor Configurations!

***

*** interface device lookup found: eth0

***

Initializing Network Interface eth0

Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-

  o"  )~   Version 2.8.0.1 (Build 72)  

   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html

           (C) Copyright 1998-2007 Sourcefire Inc., et al.

           Using PCRE version: 6.6 06-Feb-2006

Not Using PCAP_FRAMES

02/21-00:50:30.870175 192.168.101.106:22 -> 192.168.101.166:2182

TCP TTL:64 TOS:0x10 ID:6386 IpLen:20 DgmLen:124 DF

***AP*** Seq: 0x59969BDA  Ack: 0x8223B72  Win: 0x4BA  TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

     另外還有許多的參數可使用，本身查看一下

二．數據包記錄器配置

數據包記錄器的配置是把咱們收集到的信息，存放在咱們的硬盤上，其實只是使用snort的一個參數。

[root@localhost ~]# mkdir snort               //建立一個存放信息的目錄

[root@localhost ~]# snort -vde -l ./snort         //使用-l參數指定存放的目錄

[root@localhost ~]# snort -vde -l ./snort &> /dev/null   //不用在屏幕上顯示

三．***檢測系統的配置

   本次實驗主要是***檢測系統的配置，在前面的基礎之上，再進行以下操做

   在安裝以前，咱們先介紹幾個軟件包

mysql  ：以mysql做爲存放信息的數據庫

apache ：apache服務器

php   ：php 網頁環境

Libpcap：linux/unix 平臺下捕獲數據包的函數庫

adodb ： 爲php提供數據庫支持

Base  ：是基本的分析和安全引擎  ，acid 爲項目的代碼爲基礎，提供web的前端

1. mysql,php,apache,libpcap安裝

       [root@localhost ~]# yum  install php  php-gd  php-pear  php-mysql  mysql-server httpd  libpcap

2.導入匹配規則

 [root@localhost ~]# tar -zxvf snortrules-snapshot-2.8.tar.gz -C /etc/snort/   //這個須要本身下載，最好下載最新的版本，它是snort判斷某些行爲是不是對服務器進行***的規則

    3.Base解壓

      [root@localhost ~]# tar -zxvf base-1.4.5.tar.gz -C /var/www/html       //解壓文件

      [root@localhost ~]# mv /var/www/html/base-1.4.5 /var/www/html/base  //修改文件名

    4.pear的安裝

      （Pear是PHP擴展與應用庫的縮寫，它是一個php擴展及應用的一個代碼倉庫）

       [root@localhost ~]# pear install --force  PEAR-1.8.1      //在線安裝pear，須要本身的機器可以鏈接到網絡

        [root@localhost ~]# pear upgrade pear            //若是不是最新版本的，能夠更新一下(可作可不作)

        [root@localhost ~]# pear  install Image_Graph-alpha Image_Canvas-alpha  Image_Color Numbers_Roman Mail_Mime Mail            //安裝關連文件

        [root@localhost base]# cp world_map6.png  world_map6.txt /usr/share/pear/Image/Graph/Images/Maps/            //複製base文件到maps中

      5.安裝adobd

        [root@localhost ~]# unzip adodb514.zip 

        [root@localhost ~]# mv adodb5 /var/www/html

        [root@localhost ~]# mv /var/www/html/adodb5 /var/www/html/adobd(這個地方本想用/var/www/html/adodb,寫錯了，但不影響使用，要保證下面的必定要和這個文件名同樣)

        //把adobd放在網頁主目錄下

      6.base的安裝

        [root@localhost html]# chmod o+w base        //修改權限，讓其它人能夠進行寫入

       7.啓動apache

         [root@localhost base]# service httpd start

       8. 配置mysql數據庫

          [root@localhost html]# service mysqld start     //啓動mysql數據庫服務

          [root@localhost html]# mysqladmin -uroot password "123"  //修改密碼

          [root@localhost html]# mysql -uroot -p         //進行數據庫

          Enter password: 

          mysql> create database snort;                 //建立snort數據庫，存放snort收集的信息

          Query OK, 1 row affected (0.00 sec)

          mysql> use snort;                            //進入snort數據庫

          Database changed

          mysql> source /usr/share/snort-2.8.0.1/schemas/create_mysql;  //導入snort中數據庫模板

     9.修改snort輸入內容存入mysql數據庫

       [root@localhost ~]# vim /etc/snort/snort.conf    //在其中修改以下一行

        output database: alert, mysql, user=root password=123 dbname=snort host=localhost

     10.配置環境變量

        [root@localhost ~]# export  PCAP_FRAMES=max

     11.安裝snort與mysql鏈接的工具

        [root@localhost ~]# rpm -ivh snort-mysql-2.8.0.1-1.RH5.i386.rpm      

     12.配置圖形界面檢測系統

        在瀏覽器中輸入http://192.168.101.106/base      //服務器ip

         若是出現如下錯誤，則須要調整php.ini的配置

         

 

修改以下

  [root@localhost html]# vim /etc/php.ini 

  修改error_reporting  =  E_ALL爲 error_reporting  =  E_ALL & ~E_NOTICE   便可

  保存以後，從新啓動httpd服務，刷新頁面

  [root@localhost html]# service httpd restart

  

 

點擊，進入下一步

點擊，進行下一步

再下一步

繼續下一下

點擊，建立表

建立成功以後，點擊「step 5」進行下一步

輸入賬號與密碼進行登陸

登陸以後出現以下界面

 12.測試

首先讓snort掛載配置文件來進行監控

[root@localhost html]# snort -vde -c /etc/snort/snort.conf 

使用工具portscan來掃描服務器，查看監控狀況

點擊 start 以後就會出現上面的內容

如今來查看snort掃描狀況

點擊10%字樣，能夠獲得以下詳細內容

點擊第一個，查看一下

配置結束