Snort作为一款优秀的开源网络入侵检测系统,在windows和Linux平台上均可安装运行。BT5作为曾经的一款经典的渗透神器,基于Ubuntu,里面已经预装很多的应用,比如Mysql、某公司、Snort等等。Guardian是snort的插件,通过读取snort报警日志将入侵IP加入到Iptables中。Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。 从技术上,入侵检测也可分为两类:一种基于特征(误用检测)(signature-based),另一种基于异常情况(anomaly-based)。 对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 SNORT是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容搜索或者匹配。它是一个基于特征检测的入侵检测系统。
1.在kali Linux下对snort进行安装 (1)https://www.snort.org/downloads官网中下载 snort-2.9.15.1.tar.gz daq-2.0.6.tar.gz 进行安装包解压: tar -zxvf snort-2.9.15.1.tar.gz tar -zxvf daq-2.0.6.tar.gz (2)安装daq所依赖的开发包,直接编译会出现错误 Apt-get install flex Apt-get install bison Apt-get install libpcap-dev (3)查看目录下文件,并对dag包进行编译
(4)安装snort所依赖的软件包 Apt-get isnatll libpcre3-dev Apt-get install libdumbnet-dev Apt-get install zlibig-dev 同样对snort包进行编译:./configure –disable-open-appid && make && make install (5)查看snort是否安装成功
2.配置snort规则,进行ping攻击检测从官网下载规则包:(需注册登录) 下载并解压最新的规则包 将snort安装目录的包用规则包进行替换
利用Snort检测ping攻击 在rules/icmp-info.rules文件中设置如下规则:
使用snort规则对流量进行检测,并将结果输出到snort日志中 成功开启snort进行检测
使用局域网内主机对安装snort主机进行包>800的ping攻击 成功检测包大于800的ping攻击!
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-3-8 09:19
多谢分享
技术员2级