當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

利用Snort檢測(cè)網(wǎng)絡(luò)中的入侵者

http://m.yibo1263.com　2009-4-10 8:08:51 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　Snort是一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IPS)，它可以分析網(wǎng)絡(luò)上的數(shù)據(jù)包，用以決定一個(gè)系統(tǒng)是否被遠(yuǎn)程攻擊了。多數(shù)Linux發(fā)行版本都有Snort程序，因此通過(guò)urpmi、apt-get、yum等安裝Snort是一件很輕松的事情。Snort可以將其收集的信息寫(xiě)到多種不同的存儲(chǔ)位置以便于日后的分析。此外，Snort可被用作一個(gè)簡(jiǎn)單的數(shù)據(jù)包記錄器、嗅探器，當(dāng)然它主要是一個(gè)成熟的NDIS(網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))。

　　在Snort安裝之后，就可以立即使用了。我們只需執(zhí)行：

　　#snort –v

　　這就將Snort設(shè)置也了嗅探模式，數(shù)據(jù)通信會(huì)在屏幕上滾動(dòng)，顯示Snort所看到的數(shù)據(jù)。要退出此程序，按下ctrl-c鍵就可以了，然后我們就會(huì)看到它所檢測(cè)到的內(nèi)容的一個(gè)簡(jiǎn)短分析。要看到如tcpdump那樣更為詳細(xì)的信息，就需要使用-vd選項(xiàng)。

　　要使用Snort記錄數(shù)據(jù)，可以告訴此程序?qū)⑿畔⒂涗浀绞裁吹胤�。在下面的例子中，Snort會(huì)將信息記錄到/usr/local/log/snort目錄中，因此就確保此目錄真的存在：

　　# snort -l /usr/local/log/snort -d

　　Snort將以二進(jìn)制方式記錄數(shù)據(jù)包，如:/usr/local/log/snort/snort.log.1199665001,要查看此記錄，可以使用-r選項(xiàng)來(lái)重新顯示所捕獲的數(shù)據(jù)。

　　# snort -r /usr/local/log/snort/snort.log.1199665001

　　要將Snort用作一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還需要花點(diǎn)兒工夫。我們必須正確配置Snort，并要使用配置文件/etc/snort/snort.conf。注意，這個(gè)配置文件非同一般。Snort網(wǎng)站上的一些規(guī)則可能與Snort一起打包了，這依賴(lài)于你所使用的Linux版本。

　　開(kāi)源社團(tuán)的Snort的規(guī)則對(duì)任何人都是可用的，并極有可能與供應(yīng)商所提供的Snort的版本捆綁發(fā)布。你還可以從Sourcefire預(yù)訂、接收其更新，這樣就可以使規(guī)則保持不斷更新。

　　一旦下載了一個(gè)規(guī)則包，如Community-Rules-CURRENT.tar.gz，就要在系統(tǒng)中解開(kāi)它，將其解到Snort配置所在的目錄中：

　　# cd /etc/snort

　　# tar xvzf Community-Rules-CURRENT.tar.gz

　　新的規(guī)則將出現(xiàn)在rules/ directory中。

　　要啟用之，需要編輯snort.conf文件并添加以下內(nèi)容：

　　var RULE_PATH rules

　　include $RULE_PATH/sql.rules

　　include $RULE_PATH/icmp.rules

　　...

　　不管你喜歡哪些規(guī)則，現(xiàn)在就可以啟動(dòng)Snort并裝載配置文件/etc/snort/snort.conf，這會(huì)依次裝載下載的規(guī)則：

　　# snort -c /etc/snort/snort.conf

　　此時(shí)，Snort將會(huì)打印其初始化的信息，將其顯示在屏幕上，然后開(kāi)始記錄與規(guī)則匹配的數(shù)據(jù)包。這些規(guī)則將決定Snort可以記錄什么,它將忽略哪些內(nèi)容，因此這里不像將Snort作為一個(gè)嗅探器來(lái)運(yùn)行那樣，它所生成的記錄要小得多，因?yàn)樗挥涗浰^的“重要的”數(shù)據(jù)包。默認(rèn)情況下，這些記錄將會(huì)被存儲(chǔ)到/var/log/snort/中，Snort將會(huì)用我們前面所說(shuō)-r選項(xiàng)來(lái)分析之。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·黑客必備武器之NC網(wǎng)絡(luò)軍刀

·黑客網(wǎng)站負(fù)責(zé)人因培訓(xùn)黑客技術(shù)入獄

·荷蘭釋放支持維基解密19歲黑客

·澳洲17歲中學(xué)生黑掉Twitter

·WordPress站遭黑客攻擊的解決步驟

·黑客利用病毒改高考分每科4000元

·黑客回應(yīng)AT&T 所有iPad都存在安全隱患

·普通文件也能成為黑客入侵的手段

·熊貓燒香制造者李�。汉诳褪且环N榮耀

·全球黑客大賽戰(zhàn)況：iPhone 20秒被黑

·黑客技術(shù)：ICMP洪水攻擊淺析

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费