首页 > 其他分享 >snort

snort

时间:2023-06-02 20:46:49浏览次数:48  
标签:conf ping etc snort https any

snort

官网: https://www.snort.org
官方文档: https://www.snort.org/documents

snort是一个开源的IPS/IDS。
IPS, Intrusion Prevention System, 入侵防御系统
IDS, Intrusion Detection System, 入侵检测系统

现在有2.x和3.x版本,2.x安装比较方便,支持windows。

snort规则

规则构成:

[action][protocol][sourceIP][sourceport] -> [destIP][destport] ( [Rule options] )

直接看这个吧: https://snort-org-site.s3.amazonaws.com/production/document_files/files/000/000/116/original/Snort_rule_infographic.pdf

匹配ping(ping属于ICMP):

alert icmp any any -> any any (msg:"ICMP Test"; sid:6; rev:1;)

在windows安装使用

下载安装包,直接安装就好了,snort.exe在bin文件夹下,为方便使用,可以把bin文件夹路径添加到path。

etc文件夹下的snort.conf是需要自己调整的配置文件(调整前做备份),运行时也需要指定,举例:
snort -c c:\snort\etc\snort.conf
大概需要修改的点和思路:

  1. 改成正确的路径
  2. 注释不需要的部分

直到运行上面的命令不出错,就基本改完了。

ping示例

  1. 创建规则文件,如my.rules,写好规则后,把规则文件放在rules文件夹下
  2. 在snort.conf中添加一行include $RULE_PATH/test.rules
  3. 执行命令: snort -c c:\snort\etc\snort.conf
  4. 随便ping一个地址

这样就可以在log目录下的alert.ids文件里看到命中的记录了
如果想让命中记录既保存在alert.ids文件又显示在命令行中,可以添加选项 -A console -A full
如果在命令行中只想看到命令记录,可以添加选项 -q,让输出少一点

pcap包读取

snort -c c:\snort\etc\snort.conf -A console -A full -r ping.pcap

在ubuntu安装使用

sudo apt install snort

配置调整也是和windows类似的思路,指定配置执行,直到不出错: /etc/snort/snort.conf
测试命令:

sudo snort -T -c /etc/snort/snort.conf
sudo snort -c /etc/snort/snort.conf -A console -A full -r ping.pcap

命中记录文件: /var/log/snort/alert

从源码安装snort比较复杂,如果需要,参考该链接即可:
https://upcloud.com/community/tutorials/install-snort-ubuntu/


2021/10/21

标签:conf,ping,etc,snort,https,any
From: https://www.cnblogs.com/-rvy-/p/17452856.html

相关文章

  • Snort的安装——Fedora
    SnortFedoraInstall简介Snort是世界上知名的开源入侵防御系统(IPS)。SnortIPS使用一系列规则来帮助定义恶意网络活动,并使用这些规则来查找与其匹配的数据包并为用户生成警报。Snort也可以内联部署以阻止这些数据包。Snort具有三个主要用途:作为数据包嗅探器(如tcpdump),作......
  • Windows10环境中让小猪Snort跑起来
    一、背景   Snort是一款著名的开源入侵检测系统,有着悠久的历史和众多用户。我们通过部署Snort系统来监测异常网络活动并发出报警。Snort的跨平台性能很好,它支持的各种L......
  • 用snort+barnyard2+base 搭建入侵检测系统IDS
    前言吐槽:最近给老板干活编写攻防教材,恰好我负责校对的这部分出了问题……原本师兄直接拷贝的那篇博客是15年的……环境用的ubuntu12,其中的snort-mysql早被drop掉了,14......
  • Windows 环境下安装Snort+MySQL+ACID
       在Windows系统中安装软件,通常是一通Next...Finish,相比Linux要容易,所以很多同学在准备IDS实验环境时自然会想到采用Windows系统,本文对阅读者的网络基础知识以及对实......
  • FreeBSD环境中源码部署Snort+Barnyard2+MySQL+BASE
        在2019年发布的文章《手动打造Snort+barnyard2+BASE可视化报警平台》,目前已有20K+的浏览量,帮助了很多想深入了解Snort而又无法独立安装系统的同学遇到的各种困惑......
  • Snort IDS 源码安装直播课预告
        本周日上午9:00-9:30,在B站的直播课《从0开始安装SnortIDS》分享课来啦!直播环境UbuntuLinux18.0.4地址:​​https://b23.tv/YhosbC9​​2022年51CTO学堂讲......
  • 学习笔记-Snort
    Snort免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.官网https://www.snort.org/简介Snort......