SNORT入侵检测3
互联网 发布时间:2008-10-08 19:36:13 作者:佚名 
我要评论
我要评论日志信息通常存放在文件中。默认情况下,Snort将这些信息存放在/var/log/snort目录下,但是也可以在启动Snort时用命令行开关来改变这个目录。日志信息可以存储为文本格式或者二进制格式,二进制格式的文件可以供Snort或者Tcpdump随后访问。Barnyard工具可以分析Snort产生
日志信息通常存放在文件中。默认情况下,Snort将这些信息存放在/var/log/snort目录下,但是也可以在启动Snort时用命令行开关来改变这个目录。日志信息可以存储为文本格式或者二进制格式,二进制格式的文件可以供Snort或者Tcpdump随后访问。Barnyard工具可以分析Snort产生的二进制日志文件。将日志存放为二进制文件可以有更高的效率,因为这种格式开销相对较低。将Snort应用在高速网络环境中,将日志存放为二进制文件是非常必要的。
引言:
snort的输出插件最常用的方法一是将警报(例如告警和其他日志消息)记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache (http://www.apache.com)Web服务器,我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作,使我们可以将入侵检测数据记录到数据库,然后用web界面察看和分析这些数据。
另外一种就是用外部代理将警报输出到Barnyard,这需要snort采用统一格式进行输出。
第一种会产生一个主要的输出瓶劲。。。。
这样snort就可以尽可能地处理数据流并产生警报
Barnyard安装:
#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql
--with-mysql-libraries=/usr/local/mysql/lib/mysql
#make
#make install
cp etc/barnyard.conf /etc/.
目的:
snort的输出不直接输出到数据库,而是输出到Unfied的统一格式,这样可以加快snort的处理数据流。
修改/etc/barnyard.conf配置文件:
config interface: eth0
支持acid的数据库输出:
output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full
output log_acid_db: mysql, database snort_archieve, server localhost, user root, password admin,detail full
修改:/etc/snort/snort.conf
output alert_unified: filename /var/log/snort/snort.alert, limit 128
output log_unified: filename /var/log/snort/snort.log, limit 128
这样,可以加快snort的速度
执行模式有单步,连续,检验指示的连续方式
如:下面这种就是连续方式把统一日志文件输出到插件
#barnyard -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert
参数含义:
-c /etc/barnyard.conf barnyard的配置文件位置
-d /var/log/snort snort的ubfied统一格式文件的位置
-s /etc/snort/sid-msg.map 告诉sid-msg.map文件的位置,文件sid-msg.map 包含一个从msg标签到snort规则ID的映射。
-g /etc/snort/gen-msg.map 告诉gen-msg.map文件的位置,注意gen-msg.map在snort的安装程序的etc目录下
-p /etc/snort/classification.config 告诉classification.config文件的位置,该文件定义规则类
-f snort.alert 告诉barnyard以连续方式运行时需要的Unfied统一文件的基本名字。snort在产生的文件后面会自动加一个unix时间的时间戳,基本名字就是去掉时间戳的文件名
这样就可以连续实现把unfied的文件输出到插件,本例也就是输出到acid数据库中
如果是单步模式
#barnyard -o -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert.时间戳
加参数-d是后台运行的意思,这样写到acid的数据库后,执行完就回到shell界面下了。
引言:
snort的输出插件最常用的方法一是将警报(例如告警和其他日志消息)记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache (http://www.apache.com)Web服务器,我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作,使我们可以将入侵检测数据记录到数据库,然后用web界面察看和分析这些数据。
另外一种就是用外部代理将警报输出到Barnyard,这需要snort采用统一格式进行输出。
第一种会产生一个主要的输出瓶劲。。。。
这样snort就可以尽可能地处理数据流并产生警报
Barnyard安装:
#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql
--with-mysql-libraries=/usr/local/mysql/lib/mysql
#make
#make install
cp etc/barnyard.conf /etc/.
目的:
snort的输出不直接输出到数据库,而是输出到Unfied的统一格式,这样可以加快snort的处理数据流。
修改/etc/barnyard.conf配置文件:
config interface: eth0
支持acid的数据库输出:
output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full
output log_acid_db: mysql, database snort_archieve, server localhost, user root, password admin,detail full
修改:/etc/snort/snort.conf
output alert_unified: filename /var/log/snort/snort.alert, limit 128
output log_unified: filename /var/log/snort/snort.log, limit 128
这样,可以加快snort的速度
执行模式有单步,连续,检验指示的连续方式
如:下面这种就是连续方式把统一日志文件输出到插件
#barnyard -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert
参数含义:
-c /etc/barnyard.conf barnyard的配置文件位置
-d /var/log/snort snort的ubfied统一格式文件的位置
-s /etc/snort/sid-msg.map 告诉sid-msg.map文件的位置,文件sid-msg.map 包含一个从msg标签到snort规则ID的映射。
-g /etc/snort/gen-msg.map 告诉gen-msg.map文件的位置,注意gen-msg.map在snort的安装程序的etc目录下
-p /etc/snort/classification.config 告诉classification.config文件的位置,该文件定义规则类
-f snort.alert 告诉barnyard以连续方式运行时需要的Unfied统一文件的基本名字。snort在产生的文件后面会自动加一个unix时间的时间戳,基本名字就是去掉时间戳的文件名
这样就可以连续实现把unfied的文件输出到插件,本例也就是输出到acid数据库中
如果是单步模式
#barnyard -o -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert.时间戳
加参数-d是后台运行的意思,这样写到acid的数据库后,执行完就回到shell界面下了。
相关文章
CC主要是用来攻击页面的,大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页2024-01-06
入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以2021-04-15
这篇文章主要介绍了文件上传漏洞全面渗透分析小结,这里主要为大家分享一下防御方法,需要的朋友可以参考下2021-03-21- 这篇文章主要介绍了sql手工注入语句&SQL手工注入大全,需要的朋友可以参考下2017-09-06
- 这篇文章主要介绍了详解Filezilla server 提权,需要的朋友可以参考下2017-05-13
FileZilla Server 2008 x64 提权与防御方法
这篇文章主要介绍了FileZilla Server 2008 x64 提权与防御方法,需要的朋友可以参考下2017-05-13- 不久之前我们说过关于http和https的区别,对于加密的https,我们一直认为它是相对安全的,可今天要讲的是,一种绕过HTTPS加密得到明文信息的web攻击方式,不知道这消息对你2016-08-10
iPhone和Mac也会被黑 一条iMessage密码可能就被盗了
一直以来苹果系统的安全性都是比安卓要高的,但是再安全的系统也免不了漏洞,苹果也一样。最近爆出的新漏洞,只需要接收一条多媒体信息或者iMessage就会导致用户信息泄露。2016-07-27- 国家正在修正关于黑客方面的法律法规,有一条震惊黑客圈的“世纪佳缘”起诉白帽黑客事件,深深的伤害了广大黑客们的心,加上扎克伯格和特拉维斯·卡兰尼克账号被盗,于是黑2016-07-11
如何逆向破解HawkEye keylogger键盘记录器进入攻击者邮箱
面对恶意邮件攻击,我们就只能默默忍受被他攻击,连自我保护能力都没有谈什么反抗?让人痛快的是,如今有了解决办法,逆向破解键盘记录器,进入攻击者邮箱2016-07-06
最新评论