荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: hellsolaris (qq), 信区: Security
标  题: 使用Snort探测轻型侵入(1)
发信站: 荔园晨风BBS站 (Sat Nov  1 13:08:06 2003), 站内信件

使用Snort探测轻型侵入(1)
作者:钟志安 编译    文章来源:赛迪网  2002年07月15日

Snort是被设计用来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。Snort是
一个免费的、跨平台的软件包,用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测
器。它可以运行在Linux/UNIX和Win32系统上,你只需要几分钟就可以安装好并可以开始
使用它。

Snort的一些功能:

    - 实时通讯分析和信息包记录

    - 包装有效载荷检查

    - 协议分析和内容查询匹配

    - 探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试

    - 对系统日志、指定文件、Unix socket或通过Samba的WinPopus 进行实时报警

Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发
/自由软件最重要的惯例,Snort支持各种形式的插件、扩充和定制,包括数据库或是XML
记录、小帧探测和统计的异常探测等。信息包有效载荷探测是Snort最有用的一个特点,
这就意味着很多额外种类的敌对行为可以被探测到。

Snort.org 提供一些RPM和tarball。通常我推荐根据需求来建立,但是我在最新稳定版
本的tarball上遇到了问题。当这个版本的最终使用期限渐渐逼近时,我没有时间来描述
究竟是我太笨了还是Snort的问题。RPM安装就没有任何问题。

    为了使Snort工作,libpcap是必需安装到你的系统中。用locate来检查:

    $ locate libpcap

    这个将输出以下一些内容:

    /usr/lib/libpcap.so.0

    /usr/lib/libpcap.a

    /usr/lib/libpcap.so

    /usr/lib/libpcap.so.0.6.2

如果没有这些,到tcpdump.org或者你的Linux安装盘中去找。

安装一个安全软件而不验证签名是不明智的。检验你下载的checksum:

# md5 snort-1.8.6.tar.gz

或者

# md5 snort-1.8.6-1snort.i386.rpm

解压缩tarball:

$ tar -xvzf snort-1.8.6.tar.gz

以root身份安装

# ./configure

# make

# make install

这是简单形式的安装过程。一些选项被选中以运行Snort的预安装自测;将二进制和目标
文件从安装目录中清除,清除操作还有一个卸栽选项。

其他的安装选项和需要使用的配置:

--with-snmp

允许SNMP报警代码

--with-mysql=DIR

支持mysql

--with-postgresql=DIR

支持Postgresql数据库

--with-openssl=DIR

支持openssl

还有更多的一些选项,可以参见你的tarball文档


--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店