Professional Documents
Culture Documents
Snort - Dong Xuan Thinh
Snort - Dong Xuan Thinh
Snort - Dong Xuan Thinh
Sơ đồ:
Kiểm tra libdnet có thể truy cập bằng cách tạo liên kết:
# ln -s /usr/lib64/libdnet.so.1.0.1 /lib64/libdnet.1
Tạo các tệp mới cho danh sách trắng và đen cũng như các quy tắc cục bộ:
# touch /etc/snort/rules/white_list.rules
# touch /etc/snort/rules/black_list.rules
# touch /etc/snort/rules/local.rules
# touch /var/log/snort/snort.log
# sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf
Chỉnh sửa file snort.conf để thay đổi một vài thông số:
# vi /etc/snort/snort.conf
Tìm dòng sau sửa IP lớp mạng bạn muốn nhận thông tin xâm nhập
# Setup the network addresses you are protecting
ipvar HOME_NET <server public IP>/32
# unified2
# Recommended for most installs
output unified2: filename snort.log, limit 128
Kéo xuống dưới bỏ dấu # của dòng sau:
include $RULE_PATH/local.rules
4. Thử nghiệm
Để kiểm tra xem Snort có ghi nhật ký cảnh báo như dự định hay không, hãy thêm
cảnh báo quy tắc phát hiện tùy chỉnh trên các kết nối ICMP đến vào tệp local.rules:
# vi /etc/snort/rules/local.rules
Thêm dòng sau:
alert icmp any any -> $HOME_NET any (msg:"Phat hien ping"; sid:10000001;
rev:001;)
Bắt đầu Snort với tùy chọn -A console để in cảnh báo ra thiết bị. Cần chọn giao diện
mạng chính xác với địa chỉ IP của máy chủ, ví dụ: ens33
snort -A console -i ens33 -u snort -g snort -c /etc/snort/snort.conf