snort与iptables联动

[phengchen]

第一步：

debian安装

过程………………

第二步

为了更好的编译libpcap、snort我们要先做好准备工作。

1、先装一下make及安装一下编译环境 gcc、g++、libc6、flex、bison、libprce

# apt-get make

# apt-get install gcc

# apt-get install g++

# apt-get install libc6

# apt-get install flex

# apt-get install bison

# apt-get install libprec3-dev

2、安装完gcc、g++、libc6、flex、bison、libprce这些编译软件包完以后下面工作

就不会碰到问题了。接下来我们继续 ……

第三步

snort 是一个基于libpcap的数据包嗅探器的轻量级的网络入侵检测系统，所以安装

snort之前要先安装libpcap……所以接下来我们要先安装libpcap……

1、先下载libpcap

# wget http://www.mirrors.wiretapped.net/se...p-0.8.3.tar.gz

# tar zxvf libpcap* /*下载完后解压

2、接下来就是编译。

# ./configure

# make

# make install

（* * *做到这里可能会碰到找不到？？包（做的时候没记录清楚）的错。那么我们就指定一下./configure

目录,并重新make、make install）

#./configure# ./configure --with-libpcap-includes=/opt/libpcap/include/ --with-libpcap-libraries=/opt/libpcap/lib/

# make

# make install

好了终于顺利完成，到这里libpcap安装完成，接下来就是完成主戏咯！安装snort

第四步

snort的安装，由于我们前面的准备比较充分，所以下面会很顺利的完成，如果有遇到怎么困难或

麻烦，发现并提出来一起解决并进步着。

1、还是先下载snort包并解压，要不然怎么事都干不了

# wget http://www.snort.org/dl/old/snort-2.3.3.tar.gz

# tar -zxvf snort*

2、就是编译等等……

# ./configure

# make

# make install

好了看到这里很高兴的告诉大家，snort安装成功了…………安装成功完以后，还是有很多工作要做

，要根据系统要求对snort进行配置。

第五步

snort的配置

1、先把snort的配置文件snort.conf、reference.conf、classification.conf、unicode.map以及ruels文件拷贝到/etc/ 和/etc/snort/rules 下

# mkdir /etc/snort /**创建一个目录

# cp -r rules /etc/snort/

# cp snort.conf /etc/

#cp /snort.2.3.3/etc/reference.conf /etc/reference.conf

#cp /snort.2.3.3/etc/classification.conf /etc/classification.conf

#cp /snort.2.3.3/etc/unicode.map /etc/unicode.map

2、现在要做的就是对snort的配置文件进行修改咯

# vi /etc/snort.conf

# Path to your rules files (this can be a relative path)

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\rules

var RULE_PATH ../rules更该为 var RUL_PATH /etc/rules

include classification.conf更改为 include /etc/classification.conf

include reference.conf 更改为 include /etc/reference.conf

preoricessor http_inspect:global \

iis_unicode_map unicode.map 1252更改为 preoricessor http_inspect:global \

iis_unicode_map /etc/unicode.map 1252

到这里我们又将要完成一大任务，安装并配置好snort系统咯！你的电脑也就拥有了入侵检测系统咯！

3、测试一下吧

# snort -dev -i eth0 -c /etc/snort.conf

成功了吗…………


第二章 guardian 的安装

有了snort安装的经历以及安装过程中编译环境的配置，安装guardian将会是很顺利而且快的事啦……


第一步

guardian的下载并解压：

# wget http://www.snort.org/dl/contrib/othe...ian-1.6.tar.gz

# tar zxvf guardian-1.6.tar.gz

第二步

解压怎么工作完以后，我们转到解压目录下继续按下面的步骤做……

# cd guardian-1.6

# echo > /etc/guardian.ignore

# cp guardian.pl /usr/local/bin/

# cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh

# cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh

# cp guardian.conf /etc/guardian.conf

第三步

配置一下guardian……

# vi /etc/guardian.conf

编辑该文件，示例如下：

HostGatewayByte 1

# guardian的日志文件

LogFile /var/log/guardian.log

#guardian从何处读取snort的日志

AlertFile /var/log/snort/alert

#将你需要忽略的IP放在此文件中

IgnoreFile /etc/guardian.ignore

# 封锁IP的最长时间，99999999为没有时限

TimeLimit 86400

编辑完这些了，那么我们该准备的都准备好了。也就是你的guardian也装好咯……庆祝一下^ ^


第四章

终极篇 snort与guardian联动测试过程

——snort与iptable的联动


第一步

测试是否snort与guardian联动是否成功，先做一个简单规则进行测试

注释掉snort.conf里的所有规则选项。

第二步

自己创建一个规则文件

# vi my.rules /*把规则放到目录 /etc/rules下

/* my.rules:

alert tcp any any -> any 112 (msg:"TCP Traffic"


完成后把my.rules规则添加到snort.conf中。

# vi /etc/snort.conf

include nclude $RULE_PATH/my.rules

完成后保存退出。

第三步

为了更加清楚的观察到实验的现象，先清空snort的的日志文件。

# cd /var/log/snort

# rm -rf *

第四步

接下来我们开始测试咯……

# snort -i eth0 -l /var/log/snort -c /etc/snort.conf

# perl /usr/local/bin/guardian.pl -c /etc/guardian.conf

为了能实时的观察现象……

# tail -f alert /* snort 告警日志在/var/log/snort目录下

# tail -f /var/log/guardian.log /*guardian告警日志在/var/log目录下