基于Snort的入侵检测系统 [复制链接]

论坛徽章:: 1

81楼 [报告]

发表于 2006-10-27 23:41 |显示全部楼层

现在要配置ACID使之能够与MySQL数据库交互，并使Snort能够使用PHPLOT软件包。我们需要修改配置文件acid_conf.php中的一些参数，这个文件在你释放ACID文件的目录，你需要做以下设置：\r\nADODB文件的位置在这里是./adodb，你可以根据自己的情况修改。\r\n数据库服务器的类型，在这里是mysql。\r\nMySQL记录Snort数据的数据库名。\r\nMySQL数据库服务器名称或者IP地址。\r\nMySQL数据库用户名和口令。\r\n备份数据库的名称，如果你备份数据的话。\r\n备份数据库的服务器主机名或者IP地址，在这里，是与snort数据库相同的，都是localhost。\r\nPHPLOT文件的位置，在这里是./phplot-4.4.6。\r\n这些信息在acid_conf.php文件的开始部分，下面是一个实例：\r\n<?php\r\n$ACID_VERSION = \"0.9.6b21\";\r\n/* Path to the DB abstraction library\r\n* (Note: DO NOT include a trailing backslash after the\r\n* directory)\r\n* e.g. $foo = \"/tmp\" [OK]\r\n* $foo = \"/tmp/\" [OK]\r\n* $foo = \"c:\\tmp\" [OK]\r\n* $foo = \"c:\\tmp\\\" [WRONG]\r\n*/\r\n$DBlib_path = \"./adodb\";\r\n/* The type of underlying alert database\r\n*\r\n* MySQL : \"mysql\"\r\n* PostgresSQL : \"postgres\"\r\n* MS SQL Server : \"mssql\"\r\n*/\r\n$DBtype = \"mysql\";\r\n/* Alert DB connection parameters\r\n* - $alert_dbname : MySQL database name of Snort\r\n: alert DB\r\n* - $alert_host : host on which the DB is stored\r\n* - $alert_port : port on which to access the DB\r\n* - $alert_user : login to the database with\r\n: this user\r\n* - $alert_password : password of the DB user

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

82楼 [报告]

发表于 2006-10-27 23:41 |显示全部楼层

* This information can be gleaned from the Snort database\r\n* output plugin configuration.\r\n*/\r\n$alert_dbname = \"snort\";\r\n$alert_host = \"localhost\";\r\n$alert_port = \"\";\r\n$alert_user = \"rr\";\r\n$alert_password = \"rr78x\";\r\n/* Archive DB connection parameters */\r\n$archive_dbname = \"snort_archive\";\r\n$archive_host = \"localhost\";\r\n$archive_port = \"\";\r\n$archive_user = \"rr\";\r\n$archive_password = \"rr78x\";\r\n/* Type of DB connection to use\r\n* 1 : use a persistant connection (pconnect)\r\n* 2 : use a normal connection (connect)\r\n*/\r\n$db_connect_method = 1;\r\n/* Path to the graphing library\r\n* (Note: DO NOT include a trailing backslash after the\r\ndirectory)\r\n*/\r\n$ChartLib_path = \"./phplot-4.4.6\";\r\n在这里，我们设置的用户名、口令和数据库名和在snort.conf中是相同的，下面是对配置文件的解释：\r\n下面的一行用来设置ADODB文件的路径：\r\n$DBlib_path = \"./adodb\";\r\n下面的一行用来设置数据库的类型：\r\n$DBtype = \"mysql\";\r\n下面的几行用来设置Snort的主数据库信息：\r\n$alert_dbname = \"snort\";\r\n$alert_host = \"localhost\";\r\n$alert_port = \"\";\r\n$alert_user = \"rr\";\r\n$alert_password = \"rr78x\";\r\n下面的几行用来设置Snort备份数据库信息：\r\n$alert_dbname = \"snort_archive\";\r\n$alert_host = \"localhost\";\r\n$alert_port = \"\";\r\n$alert_user = \"rr\";\r\n$alert_password = \"rr78x\";\r\n下面的一行用来这是PHPLOT文件的路径：\r\n$ChartLib_path = \"./phplot-4.4.6\";\r\n配置完成后，你就可以用web界面访问ACID了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

83楼 [报告]

发表于 2006-10-27 23:42 |显示全部楼层

6．3使用ACID\r\n完成前面的工作后，你可以用URL来访问ACID了： http://<你的web服务器>/acid/。例如，我的web服务器的地址是192.168.1.2,因此，我就用http://192.168.1.2/acid/。\r\n第一次访问的时候，你还需要通过web界面做一些设置，如图6-1所示。\r\n在这个窗口，点击Setup页面连接，页面就会转到DB设置页面，如图6-2所示。\r\n在这个页面，点击“Create ACID AG”连接，ACID就会在snort数据库中创建一些自己所需要的表，以支持Snort。图6-3显示了创建新表的结果。\r\n 在图6-3所示的页面，你可以点击“Main Page”到主页面。\r\n6-1，6-2，6-3页面在你下一次使用ACID的时候就不会出现了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

84楼 [报告]

发表于 2006-10-27 23:42 |显示全部楼层

6.3.1ACID主页面\r\nACID主页面显示当前数据的概要。它用不同的部分分组显示信息。你可以看到各个协议的流量概况，取得某个Snort感应器的快照信息，搜索数据等等，如图6-4所示。\r\n\r\n点击图6-4上面的连接，你可以看到大量的信息。\r\n\r\n向数据库记录数据的探测器列表。\r\n告警的数量及详细信息。\r\n所捕获的包的源地址，你可以从中察看谁在试图攻击你的网络。你也可以通过相关连接来察看whois数据库。\r\n所捕获的包的目的地址。\r\n源和目的端口。\r\n与特定协议相关的告警，如TCP、UDP、ICMP告警。\r\n查找特定类型的告警和日志条目。\r\n频率最高的告警。\r\n告警数据的图表，目前这个功能还在实验中。\r\n\r\n在下面的屏幕截图中你可以了解一些重要的信息，但通过实践你可以了解，ACID能够提供给你更多的有用信息。\r\n6.3.1协议相关数据列表\r\n在主页面，你可以点击一个协议来取得所记录的关于这个协议的包的信息。图6-5显示的是关于ICMP协议信息的屏幕截图。在屏幕的下面，你可以看到15个包的信息被记录到数据库。你可以点击其中任意一个来获得关于这个包的详细信息。\r\n6.3.3告警信息细节\r\n图6-6显示了某个你在图6-5看到的ICMP包的细节，其中包含很多部分，每部分显示了数据包的一个层面，最上面的部分是关于这个告警的总体信息。IP部分显示了IP头部的所有部分，ICMP头部显示了ICMP数据，接着是载荷。载荷同时以16进制和ASCII码形式表示。\r\n6.3.4 查询\r\nACID的一个重要特性是可以用一些参数来查询日志和告警，例如：\r\n某个探测器\r\n开始和结束的时间\r\n源和目的地址\r\nIP头部的不同字段\r\n传输层协议\r\nIP包载荷中的字符\r\n\r\n如图6-7,执行查询是非常简单的，你只要点击“Query DB”就可以显示所查询的数据。\r\n例如，如果你想在所有的告警信息中查询包含字符“ATTACK RESPONSE”的包，你可以像图6-8那样填充信息。\r\n查询结果如6-9所示。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

85楼 [报告]

发表于 2006-10-27 23:42 |显示全部楼层

6.3.查询whois数据库\r\n你可以点击任何一个IP地址并选择某个whois数据库来查询whois信息，例如你可以通过位于http://www.arin.net的ARIN，例如� ... 6.16.52的查询结果。\r\n在处理网络安全问题的时候，这种信息是非常有用的，往往在发生相关问题的第一步，你要查询入侵者是谁，这种信息会给你一些有用的帮助。\r\n6.3.6产生图表\r\nACID的绘图功能仍然在实验中，ACID提供一个连接用来产生图表，你需要选择数据和图表类型。例如，你可以产生最近5天的告警的线图或者直方图，图6-12是一个实例。\r\nPHPLOT被用来在后台产生图表，你也可以用其他如JPRAPH来代替它。\r\n6.3.7Snort数据库存档\r\n数据库snort_archive用来从主数据库存档数据，利用ACID，你可以将告警从主数据库复制或者移动到存档数据库。\r\n你可以选择将整个关于数据库的查询存档或者存档某些查询。\r\n6.3.8ACID的表\r\n当你第一次运行ACID的时候，它在Snort数据库中创建了一些自己的表，这些表用作ACID的管理功能。\r\n下面是运行ACID前后MySQL的snort数据库中表的对比：\r\n之前：\r\nmysql> show tables;\r\n+------------------+\r\n| Tables_in_snort |\r\n+------------------+\r\n| data |\r\n| detail |\r\n| encoding |\r\n| event |\r\n| flags |\r\n| icmphdr |\r\n| iphdr |\r\n| opt |\r\n| protocols |\r\n| reference |\r\n| reference_system |\r\n| schema |\r\n| sensor |\r\n| services |\r\n| sig_class |\r\n| sig_reference |\r\n| signature |\r\n| tcphdr |\r\n| udphdr |\r\n+------------------+

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

86楼 [报告]

发表于 2006-10-27 23:42 |显示全部楼层

19 rows in set (0.01 sec)\r\nmysql>\r\n\r\n之后：\r\nmysql> show tables;\r\n+------------------+\r\n| Tables_in_snort |\r\n+------------------+\r\n| acid_ag |\r\n| acid_ag_alert |\r\n| acid_event |\r\n| acid_ip_cache |\r\n| data |\r\n| detail |\r\n| encoding |\r\n| event |\r\n| flags |\r\n| icmphdr |\r\n| iphdr |\r\n| opt |\r\n| protocols |\r\n| reference |\r\n| reference_system |\r\n| schema |\r\n| sensor |\r\n| services |\r\n| sig_class |\r\n| sig_reference |\r\n| signature |\r\n| tcphdr |\r\n| udphdr |\r\n+------------------+\r\n23 rows in set (0.00 sec)\r\nmysql>\r\n前面4个表是ACID新建立的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

87楼 [报告]

发表于 2006-10-27 23:42 |显示全部楼层

6.4SnortSnarf\r\nSnortSnarf是另外一个用web界面来显示Snort数据的工具。你可以在http://www.silicondefense.com/so ... 过web浏览器来察看。\r\nsnortsnarf.pl /var/log/snort/alert -d /var/www/html/snortsnarf\r\n下面的命令从localhost上的MySQL数据库提取数据，它用到了前面我们设置的用户名和口令。\r\nsnortsnarf.pl rr:rr78x@snort@localhost -d /var/www/html/snortsnarf\r\n你可以用cron来使SnortSnarf定期运行，图6-15显示了SnortSnarf产生的主页面，它提供了告警信息的基本情况。\r\n图6-16是关于某个告警的信息，你可以点击6-15所示的告警条目来得到这样的信息。\r\n图6-17是whois查询的屏幕截图。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

88楼 [报告]

发表于 2006-10-27 23:43 |显示全部楼层

7第七章其他一些工具\r\n本章将介绍其他一些工具，并试图让你了解如何使系统更加安全。下面我们来介绍这些工具。\r\n\r\nIDS Manager是基于Windows图形界面的Snort规则和配置管理工具，通过它你可以：\r\n\r\n从一个正在工作的Snort探测器上下载当前的配置文件snort.conf和规则。\r\n修改配置文件和规则。\r\n将配置文件和规则上载到探测器上。\r\n\r\n用IDS Manager你可以管理多个探测器，唯一要注意的事，你需要在Snort探测器上运行SSH服务器。\r\n\r\nSnortSam是另外一个工具，它可以将Snort与防火墙整合在一起，通过它和Snort一起工作，你可以修改防火墙的设置。但是这个功能仍有很多争论，因为它可能会使防火墙遭受Dos攻击。\r\n\r\n本章的另外一个论题是安装ACID的web服务器的安全性，到现在为止，我们还没有涉及到如何加强这个服务器的安全性，任何人都可以访问ACID控制台并删除Snort所收集的信息，我们稍后会解决这个问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

89楼 [报告]

发表于 2006-10-27 23:43 |显示全部楼层

7.1 SnrotSam\r\nSnortSam可以使Snort与最常见的一些防火墙协同工作，提供防火墙/IDS整合解决方案。在IDS探测到入侵的时候，它可以设置防火墙来阻止恶意的数据或者IP地址。在http://www.snortsam.net/你可以得 ... 龉ぞ甙礁霾糠郑�\r\n1、一个安装到Snort探测器上的Snort输出插件。\r\n2、一个安装到靠近防火墙或防火墙本身所在的机器上的代理。Snort通过安全连接与这个代理通讯。\r\n到目前为止，这个工具支持以下的防火墙：\r\n• 基于 IP filter的防火墙\r\n• Checkpoint Firewall-1\r\n• Cisco PIX\r\n• Netscreen\r\n\r\n它的输出插件需要与Snort一起编译，它会提供一些新的关键字，可以用来控制防火墙的行为。\r\n在一个用CheckPiont防火墙的典型方案中，你可以在防火墙本身运行SnortSam代理。如图7-1所示，一个Snort探测器正在控制两个CheckPoint防火墙。CheckPoint防火墙可以运行在Linux、Windows和其他一些它所支持的Unix系统上。\r\n如果你的防火墙并非CheckPoint这样的软件防火墙，你可以在靠近防火墙的机器上运行代理，为这个代理安装某种插件来控制一种特定的防火墙。例如，如果你需要控制Cisco路由器的访问列表，你可以在SnortSam网站上下载相关的插件。参见图7-2。\r\n关于SnortSam的文档、示例以及如何安装的信息可以在它的网站找到。但是请注意如果配置不当，用这样的工具可能会导致DoS攻击，例如，某人发送构造特殊的信息，可能会使防火墙阻止合法的服务器的通讯，比如你的DNS服务器等。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

90楼 [报告]

发表于 2006-10-27 23:43 |显示全部楼层

7.2 IDS Policy Manager\r\nIDS Policy Manager是基于Windows图形界面的工具它可以用来管理Snort配置文件和规则。你可以在http:// activeworx.com/idspm/下载。启动这个软件，你可以看到图7-3所示的窗口。\r\n开始的时候，这个窗口是空白的，下面有3个标签，分别是：\r\n\r\n“Sensor Manager”标签页，显示你用这个工具所管理的探测器。开始的时候，列表中没有，因为你并没有添加任何探测器。启动的时候，这个页面是默认页面。\r\n“Policy Manager”标签页，显示所配置的策略。策略包括snort.conf参数和关于这个策略的规则列表。\r\n“Logging”标签页显示日志信息\r\n\r\n点击标签可以切换到相应的标签页。你可以点击Sensor菜单并选择“Add Sensor”来添加探测器，会出现一个如图7-4所示的弹出窗口，在这里你可以填充关于探测器的信息。\r\n\r\n你需要输入下面的信息\r\n探测器的名称，你可以填写你所需要的名字以方便管理\r\n探测器的IP地址\r\nIDS System文本框用来指定Snort的版本，因为Snort不同的版本的参数和插件以及关键字有一点不同，因此这个信息的正确性也是比较重要的。\r\n“Upload Information”包括一些和探测器之间传输文件的参数。\r\nSCP方式是登录探测器上的SSH服务器。“Upload Directory”指定Snort探测器上的snort.conf的位置。\r\n\r\n在输入这些信息以后点击OK就添加了一个探测器。后面的第一项任务就是从你刚才添加的探测器上面下载策略。在Sensor菜单中选择Download Policy from Sensor来实现这个目的。下载完成后，点击窗口下方的Policy Manager标签，你可以看到当前的策略的列表并在这里编辑策略，双击策略名字，就出现一个策略编辑窗口，如图7-5所示。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

1 2 3 4 5 6 7 8910 / 10 页下一页

返回列表

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › 基于Snort的入侵检测系统

基于Snort的入侵检测系统 [复制链接]

浏览过的版块