欢迎进入Linux社区论坛,与200万技术人员互动交流 >>进入
首先,我们需要更改一下 /etc/snort/snort.conf 具体需要参照您自己的机器来设定。 #设定 log 存放的地方 config logdir: /var/log/snort #设定网路 var HOME_NET 192.168.1.0/24
var EXTERNAL_NET any
var SMTP ?$HOME_NET
var HTTP_SERVERS ?$HOME_NET
var SQL_SERVERS ?$HOME_NET
var DNS_SERVERS 192.168.1.250/32 var RULE_PATH ./
#设定 preprocessors preprocessor frag2
preprocessor stream4: detect_scans
preprocessor stream4_reassemblt
preprocessor portscan:?$HOME_NET 4 3 portscan.log #设定 output output database:log,mysql,user=root
dbname-snort host=localhost #rules alert tcp ?$HOME_NET 7161 -> ?$EXTERNAL_NET any(msg:”MISC Cisco Catalyst Remote Access”;flags: SA; reference:arachnids, 129;reference:cve, CVE-1999-0430;classtype:bad-unknow; sid:513; rev:1;) #设定 patch , 这些都是些附加的 rules 的文件
include ?$RULE_PATH/bad-traffic.rules include ?$RULE_PATH/exploit.rules include ?$RULE_PATH/scan.rules include ?$RULE_PATH/ftp.rules #这些 rule 其实还有很多。您可以自己去写,也可以找人家写好的下载拿来用。 现在让我们把 snort 跑起来∶ snort -c /etc/snort/snort.conf -D -i eth0 现在 snort NIDS 的模式跑起来了。 在 default 的情况下∶ alerts 会放在 /var/log/snort/alert 中 port-scanning 会放在 /var/log/snort/portscan.log
[1][2][3]
把你的脸迎向阳光,那就不会有阴影