网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

网络安全工具团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 工具 > 网络安全工具 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

入侵检测工具snort基于Kali的配置和入侵检测测试

文章来源:重庆网站建设 发布时间:2020-08-10 14:58:42 围观次数:
分享到:

摘要:作为开源代码的入侵检测工具,snort在入侵检测系统的开发中具有重要的参考意义。它主要包括初始化工作,解析命令行,读入规则库,生成用于检测的三维规则的链表,然后进行循环检测。

  作为开源代码的入侵检测工具,snort在入侵检测系统的开发中具有重要的参考意义。它主要包括初始化工作,解析命令行,读入规则库,生成用于检测的三维规则的链表,然后进行循环检测。

  流程图:

blob.png

1.在kali Linux下安装snort


  (1)从https://www.snort.org/downloads官方网站下载

  snort-2.9.15.1.tar.gz

  daq-2.0.6.tar.gz

  解压安装包:

  tar-zxvf snort-2.9.15.1.tar.gz

  tar-zxvf daq-2.0.6.tar.gz


  (2)安装daq所依赖的开发包时,直接编译时会发生错误

  Apt-get install flex

  Apt-get install bison

  Apt-get install libpcap-dev


  (3)查看目录中的文件并编译dag包

blob.png

  (4)安装snort依赖的软件包

   Apt-get isatll libpcre3-dev

   Apt-get install libdumbnet-dev

   apt-get install zlibig-dev

   还要编译snort包:./configure –disable-open-appid


  (5)查看snort是否安装成功

blob.png

2.配置snort规则以检测ping攻击


  从官方网站下载规则包:(需要注册)

blob.png

  下载并解压缩最新的规则包

  将snort安装目录中的软件包替换为规则软件包

blob.png

使用Snort检测ping攻击


  在rules/icmp-info.rules文件中设置以下规则:

blob.png

 创建snort检测日志

blob.png

 将snort规则中的路径(RULE_PATH)更改为snort下的rule规则路径

blob.png

 使用snort规则检测流量并将结果输出到snort日志

blob.png

 成功开启snort进行检测

blob.png

 使用LAN中的主机对数据包> 800的snort所在的主机执行ping操作

blob.png

 在日志中查看测试结果:

blob.png

  成功检测到数据包大于800的ping攻击!


使用Snort检测nmap扫描


  1.修改snort规则,将检测到的家庭网络更改为局域网

blob.png

 2.在rules/local.rules下配置tcp规则

blob.png

 3.启动snort扫描并在局域网中检测

blob.png

 4.使用主机在局域网中执行namp扫描

blob.png

 5.在var/log/snort中查看测试结果

blob.png

  Snort还可以检测网站访问。

  由于snort只能检测入侵并发出警报消息,而不能直接阻止入侵,因此可以将snort与iptables结合使用解决问题。

  ①使用Snort的扩展功能来定制和开发集成插件(snortsam):Snort具有一种插件机制,可提供预处理插件和处理插件。这种插件支持Snort中的自定义开发和加载。因此,第一种实现方法是定制插件的开发。当检测到规则匹配时,将调用远程主机或相应主机的防火墙,并将建立入侵的IP和端口以建立相应的主机 iptables规则丢弃此连接,端口或此ip的所有数据包的数据包。

  ②使用Snort的警报日志自定义开发脚本。与Snort的插件方法相比,第二种实现方法非常简单且易于实现。它使用简单的脚本实时读取警报日志,创建相应的lptables规则,并将其添加到远程主机或防火墙规则中。在相应主机的防火墙规则中,实现了与第一种方法相同的功能。尽管就处理速度而言,后者不如第一种方法及时,但总体保护能力并没有太大差异。


本文由 重庆网站建设 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:入侵检测工具 snort Kali

上一篇:安全扫描工具Tsunami:功能强大,是一个可扩展的插件系统,可检测和扫描高危漏洞。
下一篇:Kube-Bench:Kubernete的安全检测工具,基于Go开发的应用程序,可以帮助研究人员在已部署的Kubernete上执行安全检测。

热门资讯

鼠标向下滚动