×

【每日一记】基于Kali的Snort配置和入侵检测测试
  

wang伟 2763

{{ttag.title}}
      Snort作为一款优秀的开源网络入侵检测系统,在windows和Linux平台上均可安装运行。BT5作为曾经的一款经典的渗透神器,基于Ubuntu,里面已经预装很多的应用,比如Mysql、某公司、Snort等等。Guardian是snort的插件,通过读取snort报警日志将入侵IP加入到Iptables中。Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。

     从技术上,入侵检测也可分为两类:一种基于特征(误用检测)(signature-based),另一种基于异常情况(anomaly-based)。

     对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。

      而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。

      SNORT是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容搜索或者匹配。它是一个基于特征检测的入侵检测系统。


1.在kali Linux下对snort进行安装

(1)https://www.snort.org/downloads官网中下载

snort-2.9.15.1.tar.gz

daq-2.0.6.tar.gz

进行安装包解压:

  tar -zxvf snort-2.9.15.1.tar.gz

  tar -zxvf daq-2.0.6.tar.gz

(2)安装daq所依赖的开发包,直接编译会出现错误

Apt-get install flex

Apt-get install bison

Apt-get install libpcap-dev

(3)查看目录下文件,并对dag包进行编译

(4)安装snort所依赖的软件包

Apt-get isnatll libpcre3-dev

Apt-get install libdumbnet-dev

Apt-get install zlibig-dev

同样对snort包进行编译:./configure –disable-open-appid && make && make install

(5)查看snort是否安装成功

2.配置snort规则,进行ping攻击检测

从官网下载规则包:(需注册登录)

下载并解压最新的规则包

将snort安装目录的包用规则包进行替换

利用Snort检测ping攻击

在rules/icmp-info.rules文件中设置如下规则:

使用snort规则对流量进行检测,并将结果输出到snort日志中

成功开启snort进行检测

使用局域网内主机对安装snort主机进行包>800的ping攻击

成功检测包大于800的ping攻击!


打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

暗夜星空 发表于 2021-3-8 09:19
  
多谢分享
蟲爺 发表于 2021-1-17 10:41
  
感谢分享
暗夜星空 发表于 2020-12-30 08:00
  
多谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人