FreeBuf基于Kali的Snort配置和入侵检测测试
Snort简介
snort作为一个开源代码的入侵检测工具 , 在入侵检测系统开发的过程中有着重要的借鉴意义 , 其主要有
初始化工作 , 解析命令行 , 读入规则库 , 生成用于检测的三维规则链表 , 然后循环检测 。
流程图:
本文插图
1.在kali Linux下对snort进行安装
(1)https://www.snort.org/downloads官网中下载
snort-2.9.15.1.tar.gz
daq-2.0.6.tar.gz
进行安装包解压:
tar -zxvf snort-2.9.15.1.tar.gz
tar -zxvf daq-2.0.6.tar.gz
(2)安装daq所依赖的开发包 , 直接编译会出现错误
Apt-get install flex
Apt-get install bison
Apt-get install libpcap-dev
(3)查看目录下文件 , 并对dag包进行编译
(4)安装snort所依赖的软件包
Apt-get isnatll libpcre3-dev
Apt-get install libdumbnet-dev
Apt-get install zlibig-dev
【FreeBuf基于Kali的Snort配置和入侵检测测试】同样对snort包进行编译:./configure –disable-open-appid && make && make install
(5)查看snort是否安装成功
本文插图
2.配置snort规则 , 进行ping攻击检测从官网下载规则包:(需注册登录)
本文插图
下载并解压最新的规则包
将snort安装目录的包用规则包进行替换
本文插图
练习一条规则在rules/local.rules下进行规则配置
本文插图
实现对内网的UDP协议相关流量进行检测 , 并报警
重启snort使规则生效 。
利用Snort检测ping攻击在rules/icmp-info.rules文件中设置如下规则:
本文插图
创建snort检测日志
将snort规则中的路径(RULE_PATH)改为snort下的rules规则路径
本文插图
使用snort规则对流量进行检测 , 并将结果输出到snort日志中
成功开启snort进行检测
本文插图
使用局域网内主机对安装snort主机进行包>800的ping攻击
本文插图
在日志中查看检测结果:
本文插图
成功检测包大于800的ping攻击!
利用Snort检测nmap扫描1.对snort规则进行修改 , 将检测的家庭网络改为所在局域网
2.在rules/local.rules下进行tcp规则配置
3.启动snort进行局域网内的扫描检测
4.使用宿主机进行局域网内的namp扫描
本文插图
5.在var/log/snort中查看检测结果
推荐阅读
- 指数债券|美债收益率曲线的陡平之辨:基于供需视角的分析
- 怅然|基于Ansible和Devops的一键测试环境部署实践
- 三好先森|基于JeecgBoot快速开发简历库系统,开源项目,实操分享
- Find|基于安卓11,OPPO将开启新版本ColorOS公测招募
- 京东数科服贸会首提基于城市操作系统的“一核两翼”
- 中新经纬|京东数科首提基于城市操作系统的“一核两翼”
- 超跑密探|阿斯顿马丁基于one-77底盘打造,848匹!,全球仅1台
- 手机圈小胖|Plus获得基于安卓7.0的Flyme8稳定版推送,魅族15
- 津爱改装车|基于统一正则散列算法的多模数据分析
- 小熊回收站|txtai:基于 Transformer 的人工智能搜索引擎