搭建snort inline

smx2lh

一.什么是snort inline?
  下面是说明出自snort inline的官方网站：
  
http://snort-inline.sourceforge.net/index.html
  snort_inline is basically a modified version of
Snort
that accepts packets from
iptables
, via libipq, instead of
libpcap
. It then uses new rule types (drop, sdrop, reject) to tell iptables whether the packet should be dropped, rejected, modified, or allowed to pass based on a snort rule set.  Think of this as an Intrusion Prevention System (IPS) that uses existing Intrusion Detection System (IDS) signatures to make decisions on packets that traverse snort_inline
  简单的理解就是IPS版snort.

目前利用snort inline 不仅仅可以作单纯的IPS，还可以搭配linux bridge、iptables等技术来搭建蜜网系统（honeynet）

二.蜜罐和蜜网

什么是蜜罐技术？
－－蜜罐技术是引诱黑客进行攻击，记录黑客行为的情报收集系统。
由于蜜罐系统本身也可能有安全问题，被黑客控制后可能作为攻击其它系统的跳板，因此引出了蜜网。
那么什么是蜜网呢？
－－蜜网可以说是更安全更强大的蜜罐，它以更合理的方式记录下黑客的行动，同时尽量减少可能对其它系统造成的危害。
honeynet是一个由爱好者自由发起的一个蜜网工程。他们的网址是
www.honeynet.org
三.搭建snort inline
我是在linux 2.4.22上搭建的。
1>需要的软件包：
  snort inline-2.2.0
  pcre-6.3
  iptables-1.2.8
  Libnet-1.0.2a
  snort_conf.tar.gz
  这里需要注意的是要根据你所用的kernel版本选择适合的软件包版本。
  其中snort inline 和libnet的版本又有所关联，编译安装的时候要注意
2>安装及运行
  在安装snort inline之前要把关联的包都安装完毕。
  其中pcre-6.3，iptables-1.2.8，Libnet-1.0.2a
  这其中iptables-1.2.8编译的时候可能遇到点，一般都是由于makefile
  文件中KERNEL_PATH设置和真实环境有点不同，这个具体问题具体对待。
  或者选择修改其makefile文件中的路径，或者在linux下建立其需要的头
  文件的链接就OK。
  ln -s /usr/include/linux /usr/src/linux
  然后把还缺少的头文件copy到该处。
  其他的安装通常不会遇到什么问题。

  安装好了还不能直接运行，需要把snort_conf.tar.gz解压到根目录下，
  另外根据需要还可以创建日志文件，mkdir /var/log/snort
  这样你就可以执行：
snort_inline -Qc /etc/snort_inline.conf -l /var/log/snort
  


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/2260/showart_103045.html