snort+acid打造LINUX下的入侵检测系统(IDS)(上)(1)
Snort是一个轻便的网络入侵检测系统,可以完成实时流量分析和对网络上的IP包登录进行测试等功能,能完成协议分析,内容查找/匹配,能用来探测多种攻击和嗅探(如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等)。 前提:Apache要支持PHP,这样我们才能在浏览器上通过acid分析日志,喜欢看文本日志的除外more /var/log/snort/alert 需要的软件包: ①httpd-2.0.52.tar.gz,http://httpd.apache.org/download.cgi ②mysql-standard-4.1.9-pc-Linux-gnu-i686.tar.gz, http://dev.mysql.com/get/Downloads/MySQL-4.1/mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz/from/pick ③php-4.3.10.tar.gz,http://www.php.net/downloads.php ④snort+acid+adodb+jpgraph+libpcap+pcre这些包我已经打包好放我网站里了,地址: http://www.grlinux.net/squall/snort_soft.tar.bz2 apache+mysql+php这里不介绍了,不清楚的到我那拿PDF的吧。 (这里说明一下,最新的snort-2.3.3.tar.gz的contrib目录里很多重要文件都没有,所以按照参考教程又下了一个snort-2.0.0.tar.gz) 一、准备工作 # 把所有tar包放到/usr/local/src/下。 # tar zxvf libpcap-0.7.2.tar.gz # cd libpcap-0.7.2 # ./configure # make # make install # cd .. # tar zxvf pcre-5.0.tar.gz # ./configure # make # make install # 我这里没有安装zlib,因为我的系统里有,如果你要安装新的zlib包,请先卸载自带的包。 二、安装snort 我们还是要编译snort-2.3.3.tar.gz,因为很多规则都是最新的,至于contrib目录里的文件我们用snort-2.0.0.tar.gz这个。 # tar zxvf snort-2.3.3.tar.gz # tar zxvf snort-2.0.0.tar.gz # cd snort-2.3.3 # ./configure --with-mysql=/usr/local/mysql # make # make install # cd rules # mkdir /etc/snort # mkdir /var/log/snort # cp * /etc/snort # cd ../etc # cp snort.conf /etc/snort
