基于Snort的入侵检测系统 [复制链接]

论坛徽章:: 1

61楼 [报告]

发表于 2006-10-10 23:42 |只看该作者

4.2.7记录到数据库\r\n\r\nSnort可以用数据库来记录日志和告警，你可以用Oracle或MySQL等多种类型的数据库，如下面的例子：\r\noutput database: log, mysql, user=rr password=rr \\\r\ndbname=snort host=localhost\r\n下一章将详细讨论如何应用数据库，下面是数据库数据模块的格式：\r\noutput database: <log | alert>, <database_type>, \\\r\n<parameter_list>\r\n这里database_type指的是数据库类型，如mysql，parameter_list是一些相关参数，用空格分隔。其中很多参数是可选的。\r\n下面是参数的列表：\r\n \r\n参数描述 \r\nHost 运行数据库服务器的主机 \r\nPort 数据库服务器的端口号 \r\nDbname 数据库的名称 \r\nUser 数据库的用户名 \r\nPassword 用户口令 \r\nSensor_name Snort探测器的名称 \r\nDetail Full或者fast模式，默认是full \r\nEncoding 记录数据的ASCII，hex或者base64的编码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

62楼 [报告]

发表于 2006-10-10 23:43 |只看该作者

4.2.8CSV数据模块\r\n利用CSV模块，可以将输出数据保存为CSV文件，可以将数据导入到其他的软件中，如Excel等等。启动CSV模块的语句模式如下：\r\noutput csv: <filename> <formatting_options>\r\n文件默认被创建到/var/log/snort路径下面，选项用来定义文件中储存什么样的信息以及以什么样的顺序储存。\r\n例如，你用default作为格式选想那么告警的所有参数将被存储在文件中：\r\noutput csv: csv_log default\r\n输出文件的格式如下：\r\n07/23-18:24:03.388106 ,ICMP Packet with\r\nTTL=100,ICMP,192.168.1.100,,192.168.1.2,,0:2:3F:33:C6:98,0:E0:29:89:\r\n28:59,0x4A,,,,,,100,0,51367,60,20,8,0,,\r\n07/23-18:25:51.608106 ,GET\r\nmatched,TCP,192.168.1.2,1060,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x189,***AP***,0x55BCF404,0x8CBF42DD,,0x16D0,64,0,35580,37\r\n9,20,,,,\r\n07/23-18:25:52.008106 ,GET\r\nmatched,TCP,192.168.1.2,1061,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x1D0,***AP***,0x55628967,0x8D33FB74,,0x16D0,64,0,63049,45\r\n0,20,,,,\r\n07/23-18:25:52.478106 ,GET\r\nmatched,TCP,192.168.1.2,1061,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x1D0,***AP***,0x55628B01,0x8D33FC1B,,0x1920,64,0,63051,45\r\n0,20,,,,\r\n07/23-18:25:52.708106 ,GET\r\nmatched,TCP,192.168.1.2,1061,192.168.10.193,,0:E0:29:89:28:59,0:6:25\r\n:5B:29:ED,0x1EF,***AP***,0x55628C9B,0x8D33FCC1,,0x1D50,64,0,63053,48\r\n1,20,,,,\r\n每一行包括下面的字段：

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

63楼 [报告]

发表于 2006-10-10 23:43 |只看该作者

名称描述 \r\nTimestamp 时间戳包含时间和日期 \r\nMsg 规则中msg字段中的信息 \r\nPorto 协议 \r\nSrc 源IP地址 \r\nDst 目的IP地址 \r\nDstport 目的端口 \r\nEthsrc 源MAC地址 \r\nEthdst 目的MAC地址 \r\nEthlen 以太网帧长度 \r\nTcpflags 如果协议为TCP的话，这里就记录标志位 \r\nTcpseq Tcp包的序列号 \r\nTcpack Tcp的应答号 \r\nTcplen TCP包的长度 \r\nTcpwindow TCP窗口的大小 \r\nTtl IP头部的TTL值 \r\nTos IP头部的服务类型值 \r\nId 包的ID值 \r\nDgmlen 数据报的长度 \r\nIplen IP头部长度 \r\nIcmptype ICMP头部的类型段 \r\nIcmpid ICMP头部的ID \r\nIcmpseq ICMP序列号

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

64楼 [报告]

发表于 2006-10-10 23:43 |只看该作者

你可以用少量的选项，例如：\r\noutput csv: csv_log timestamp,msg,src,dst\r\n纪录的日志如下：\r\n07/23-19:31:27.128106 ,GET matched,192.168.1.2,192.168.10.193\r\n07/23-19:31:27.278106 ,GET matched,192.168.1.2,192.168.10.193\r\n4.2.9统一纪录输出模块\r\n同意输出适合告诉纪录，你可以将日志和告警存放不同的文件中，下面是配置格式：\r\noutput alert_unified: filename <alert_file>, \\\r\nlimit <max_size>\r\noutput log_unified: filename <log_file>, \\\r\nlimit <max_size>\r\n文件的大小用M字节表示，你可以同时记录日志和告警，因为告警文件并不包含包的详细信息。下面是个例子：\r\noutput alert_unified: filename unified_alert, limit 50\r\noutput log_unified: filename unified_log, limit 200\r\n如果不指定路径，那么文件将被创建在/var/log/snort中。在上面的例子中，告警文件的大小被限制在50M字节，日志文件是200M字节。\r\n统一日志用二进制记录问津，你可以用一些工具开查看，比如Barnyard。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

65楼 [报告]

发表于 2006-10-10 23:43 |只看该作者

4.2.10SNMP Trap输出模块\r\n这个模块可以向网络管理中心输出SNMP trap形式的告警，它可以产生SNMP 第二版和第三版的trap信息。格式如下：\r\noutput trap_snmp: alert, <sensor_ID>, {trap|inform} \\\r\n-v <snmp_version> -p <port_number> <hostname> <community>\r\n下面一行的作用是将SNMP 2C版的trap信息发到192.168.1.3的162端口，共同体名称为public：\r\noutput trap_snmp: alert, 8, trap -v 2c -p 162 \\\r\n192.168.1.3 public\r\n如果需要用SNMP，那么openssl的支持必须也在编译Snort的时候选择。\r\n4.2.11 空记录数据模块\r\n这个模块可以导致不记录告警，一般情况下不推荐使用。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

66楼 [报告]

发表于 2006-10-10 23:43 |只看该作者

4.3 BPF过滤器\r\nBPF是在数据链路层过滤数据包的一种机制。基于BPF的过滤器通常用tcpdump这样的程序来过滤你想捕获的数据包。你可以同时使用BPF和Snort。如果你使用BPF过滤器，那么Snort只能看到通过BPF过滤器的包。这样可以过滤掉没有意义的数据包，节省CPU时间。\r\n你可以将BPF过滤表放在一个文件中，在启动Snort的时候引用这个文件。假设你想让Snort仅仅探测IP头部的TOS不等于0的包，你可以创建一个文件bpf.txt，包含如下的一行：\r\nip[1] != 0\r\n数字1表示的IP头部开始计算的偏移量，1就是TOS位。\r\n然后，用下面的命令启动Snort:\r\nsnort -F bpf.txt -c /opt/snort/etc/snort.conf

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

67楼 [报告]

发表于 2006-10-10 23:44 |只看该作者

所有的系统都需要某种类型的可以有效的纪录的机制，这种机制通常是通过后台的数据库来完成的。Snort可以同MySQL、Oracle或者其他任何一种ODBC兼容的数据库一起工作。在前面的章节中，你已经了解了你可以通过输出模块将日志和告警保存在数据库中，这对保存历史数据并产生报告和分析数据是非常有用的。利用如ACID（将在下一章讨论）之类的工具，也可以得到关于入侵特征非常有用的信息，例如你可以得到最后15次攻击的报告，其中的信息包括连续攻击你的网络的主机，攻击不同协议的分布等等。\r\nMySQL是可以免费得到的数据库系统，并且能够在Linux和其他操作系统上很好的工作，因此对于Snort来说，是一种很自然的选择。\r\n你可以在运行Snort的机器上同时安装MySQL服务器，如图5-1所示。\r\n你也可以将MySQL服务器安装到另外一台机器上，并将Snort日志记录到这台机器，如图5-2所示

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

68楼 [报告]

发表于 2006-10-10 23:44 |只看该作者

你也可以用一台中心MySQL服务器记录多个Snort感应器的信息，如图5-3所示。\r\n方案的选择取决于你的特定需求。例如，你只有一个Snort感应器，并且没有现有的数据库服务器，这样一个很自然的做法是将数据库和Snort安装在同一个机器上。但如果你有多个Snort机器，就应该建立一个中心数据库服务器，如图5-5所示。\r\n如果从远程Snort机器登录到独立的数据库服务器上，在传输数据的时候可以不采取安全措施，也可以采用某种加密手段。利用安全隧道，所有在Snort机器和数据库服务器之间传输的数据都将被加密，这种手段也可以用于穿越防火墙的情况，因为这时你可以利用防火墙已经打开的端口。\r\n在将Snort数据记录到MySQL数据库之前，你建立一个库。建立数据库后，必须要为数据库创建表用来记录Snort数据。你可以在http://www.incident.org/snortdb/ ... 娼岫源俗龀鏊得鳌�\r\n学习完本章后，你将可以安装Snort和MySQL并将所有的Snort活动记录到数据库中。你也将了解如何用中心数据库服务器纪录多个Snort机器的数据。本章的最后部分将提供用安全隧道来管理Snort和远程数据库服务器间传输通道安全的信息。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

69楼 [报告]

发表于 2006-10-10 23:44 |只看该作者

5．1使Snort与MySQL共同工作\r\n为使Snort与MySQL共同工作，有几个事情需要做。下面是建立Snort-MySQL系统的步骤。关于每个步骤的详细信息将在本章的后面介绍。\r\n编译Snort使之支持MySQL并安装，并测试一些告警以确信Snort工作正常。在第2章已经叙述过，你需要在运行configure脚本的时候加上—with-mysql的命令行参数。\r\n安装MySQL并用mysql客户端来确定数据库可以正常工作。\r\n在MySQL服务器中创建一个数据库，我将这个数据库命名为snort，你也可以叫它其他的名字。本章的后面将对此进行详细讨论。\r\n为数据库创建一个用户及口令，Snort将用这个用户名来记录数据。\r\n用snort分发包的contrib目录下面的脚本来为数据库创建表。。\r\n修改snort.conf，使数据库模块起作用，本章的后面将对此进行讨论。在此你将用到刚刚建立的数据库的名称和用户名及口令。。\r\n重新启动Snort，如果一切正常，Snort将开始向数据库记录数据。\r\n产生一些告警并用mysql客户端程序来确定告警已被纪录。\r\n本章的剩下部分将解释如何实现这些步骤，下一章将讨论ACID的应用，此时本章你做的事情才能够得到实际的应用价值。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

70楼 [报告]

发表于 2006-10-10 23:44 |只看该作者

5.1.1 第一步：使Snort支持MySQL的编译方法\r\n如果你需要使Snort支持MySQL数据库，那么你必须在编译的时候带上—with-mysql的参数。在第二章中，我们已经叙述过如何用configure脚本来做这样的事情。\r\n典型的configure脚本命令行运行方式如下所示：\r\n./configure --prefix=/opt/snort --with-mysql=/usr/lib/mysql\r\n我建议你在运行configure脚本的时候，同时加入其他组件的支持，如SNMP等，它们也是非常有用的。在编译的时候，MySQL的系统库文件必须在/usr/lib/mysql中存在才能成功。详细信息可以在第二章中查阅

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

1 2 3 4 5 678 9 10 / 10 页下一页

返回列表

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › 基于Snort的入侵检测系统