FreeBuf基于Kali的Snort配置和入侵检测测试( 二 )
本文插图
遇到的问题及解决方法:1.在启动snort规则中 , 出现如下错误:
这个错误与安装的依赖有关 , 这里我们可对326 , 327行进行注释 , 并删除324后的\
本文插图
2.在snort文件中没有while_list.rules和black_list.rules:
这里我们可以进行删除或者注释掉
本文插图
3.在tcp规则的设定中 , 没有sid号导致错误(注释:<100保留 , 100~999999为snrot发布用 , >=1000,000本地用)
结语snort还可以对网站的访问进行检测 。
由于snort只能检测到入侵行为并发出报警信息 , 但是不能直接地阻断入侵行为 , 可以将snort与iptables
联动来解决这个问题 。
①利用Snort的扩展功能 , 自定义开发集成插件(snortsam): Snort 有个插件机制提供了预处理插件和处理插件等方式 。 而这种插件在Snort里是支持自定义开发并加载的 。 因此第一种实现方式就是自定义开发插件,当检测到规则匹配时则调用远程或对应主机的防火墙 , 将有入侵行为的ip 和端口 , 建立对应的一条Iptables规则丢弃这个连接、端口的数据包或将此ip的所有包都丢弃 。
②利用Snort的告警日志 , 自定义开发脚本 。 相对于Snort的插件方式 , 第二种的实现方式非常简单且易于实现,就是利用一个简单的脚本实时读取告警日志 , 将记录到的Ip和端口 , 创建对应的一条lptables规则 , 加入到远程或对应主机的防火墙规则中,也就是实现了同第一种方式相同的功能 , 虽然后者在处理速度上没有第一种方式及时 , 但整体防护能力上并未有太大什么区别 。
精彩推荐
本文插图
本文插图
推荐阅读
- 指数债券|美债收益率曲线的陡平之辨:基于供需视角的分析
- 怅然|基于Ansible和Devops的一键测试环境部署实践
- 三好先森|基于JeecgBoot快速开发简历库系统,开源项目,实操分享
- Find|基于安卓11,OPPO将开启新版本ColorOS公测招募
- 京东数科服贸会首提基于城市操作系统的“一核两翼”
- 中新经纬|京东数科首提基于城市操作系统的“一核两翼”
- 超跑密探|阿斯顿马丁基于one-77底盘打造,848匹!,全球仅1台
- 手机圈小胖|Plus获得基于安卓7.0的Flyme8稳定版推送,魅族15
- 津爱改装车|基于统一正则散列算法的多模数据分析
- 小熊回收站|txtai:基于 Transformer 的人工智能搜索引擎