引言
本篇将介绍我在工作期间,对办公室的一台
测试用服务器部署IDS(Intrusion ddetection System)入侵检测系统时的一些笔记分享。
在1998年,Martin Roesch用C语言开发了开放源代码(Open Source)的入侵检测系统Snort。直至今天,Snort已发展成为一个具有多平台(Multi-Platform)、
实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。Snort符合通用公共许可(GPL——GNU General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用。
(一) 部署Snort
sudo apt-get install libpcap-dev bison flex
sudo apt-get install snort
(二) 嗅探
1. 基础用法
sudo snort -v
2. 展示数据内容
sudo snort -vd
(三) 网络IP数据包记录
sudo mkdir snortLogs
sudo snort -d -l snortLogs
以上命令将会在snortLogs文件夹(用户可自行选择日志文件保存位置)下创建一个.log.xxxxxx
结尾的日志文件,要查看该文件,可直接通过WireShark打开,或使用以下命令:
snort -d -v -r your-log-file-name.log.xxxxxx
(四) NIDS
未完待续…
