基于Snort的入侵检测系统 [复制链接]

论坛徽章:: 1

71楼 [报告]

发表于 2006-10-10 23:45 |只看该作者

5．1．2 第二步：安装MySQL\r\n我建议你用随RedHat或其他Linux发行版附带的软件包来安装MySQL，这是最简单的方式。MySQL同时也有用于Windows平台的。当然，你也可以在http://www.mysql.org来获得MySQL� ... 氖焙虿捎谜庵址绞健�\r\n5.1.3 第三步：在MySQL中建立Snort数据库。\r\n一旦你完成了编译支持MySQL的Snort,那么下面要做的就是建立一个Snort用来记录数据的数据库了。在开始使用MySQL之前，首先要确定数据库服务器上的MySQL运行正常。你可以用ps –ef | grep mysql来察看，如果列表中有MySQL进程，那么数据库服务器就正在运行。如果你只有一台机器，你可以在安装Snort的机器上运行MySQL服务器。前面也说过，你也可以在别的机器上运行数据库服务器。为了本书叙述的方便，我将所有的部件，包括Snort和MySQL都安装在同一台机器上面。\r\n你可以在http://www.mysql.ort上下载MySQL� ... 璧娜ㄏ薷秤栌没r。\r\n客户端程序mysql用来连接数据库服务器。Snort数据库的名称可以用任意的名字，访问数据库的用户名也可以自由定义。为本书的叙述方便，我们在此创建一个叫做snort的数据库，和一个名为rr的用户来访问数据库。假定MySQL服务器运行在本地，通常的用来创建数据库并检查其状态的mysql命令运行过程如下所示：

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

72楼 [报告]

发表于 2006-10-10 23:45 |只看该作者

[root@laptop]# mysql -h localhost -u root -p\r\nEnter password:\r\nWelcome to the MySQL monitor. Commands end with ; or \\g.\r\nYour MySQL connection id is 40 to server version: 3.23.36\r\nType \'help;\' or \'\\h\' for help. Type \'\\c\' to clear the buffer\r\nmysql> create database snort;\r\nQuery OK, 1 row affected (0.00 sec)\r\nmysql> use snort\r\nDatabase changed\r\nmysql> status\r\n--------------\r\nmysql Ver 11.13 Distrib 3.23.36, for redhat-linux-gnu (i386)\r\nConnection id: 41\r\nCurrent database: snort\r\nCurrent user: root@localhost\r\nCurrent pager: stdout\r\nUsing outfile: \'\'\r\nServer version: 3.23.36\r\nProtocol version: 10\r\nConnection: Localhost via UNIX socket\r\nClient characterset: latin1\r\nServer characterset: latin1\r\nUNIX socket: /var/lib/mysql/mysql.sock\r\nUptime: 1 hour 56 min 29 sec\r\nThreads: 1 Questions: 107 Slow queries: 0 Opens: 14 Flush\r\ntables: 1 Open tables: 7 Queries per second avg: 0.015\r\n--------------

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

73楼 [报告]

发表于 2006-10-10 23:45 |只看该作者

mysql>\r\n在这个过程中用到了下面的命令：\r\n命令“mysql -h localhost -u root –p ”用来将mysql客户端连接到本地的数据库服务器上面。其中“-u root”表示用来连接数据库的用户名，“-p”用来在下一行输入用户密码。登录后，你会看到一个欢迎信息，并得到“mysql>”提示符，这样你可以执行其他的数据库操作命令。\r\n命令“create database snort;”用来在MySQL服务器中创建一个名为snort的数据库，你也可以用其他你喜欢的名字。\r\n命令“use snort”的作用是使用新创建的数据库snort。\r\n命令“status”用来显示数据库服务器的当前状态。例子中显示了当前打开的数据库是snort。\r\n在MySQL命令提示符下，你可以用“exit”命令来结束mysql客户端进程。\r\n5.1.4创建MySQL用户并授予权限和设置口令\r\n在访问Snort数据库的时候，我们不建议用root用户登录，因此，你要创建一个新的用户，我的新用户名为rr。下面的命令用来创建名为rr的用户，这个命令也用来给用户授予对表和库的访问权限。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

74楼 [报告]

发表于 2006-10-10 23:45 |只看该作者

CREAT，用来创建新的对象。\r\nINSERT，用来向数据库插入数据。\r\nDELETE，用来从数据库删除数据。\r\nUPDATE，用来修改记录。\r\nSELECT，用来显示并选择记录。\r\n我们用所创建的用户来访问Snort数据库，当你配置Snort使用其数据库输出模块的时候，在配置文件snort.conf中也将用到这个用户名及其口令。\r\nmysql> grant CREATE,INSERT,DELETE,UPDATE,SELECT on snort.* to\r\nrr@localhost;\r\nQuery OK, 0 rows affected (0.00 sec)\r\nmysql>\r\n对新用户的授权仅限于Snort数据库，创建用户并授权用一条命令完成。\r\n新用户需要一个口令，下面的命令为新用户指定口令“rr78x”。\r\nmysql> set password for rr = password(\'rr78x\');\r\nQuery OK, 0 rows affected (0.00 sec)\r\nmysql>

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

75楼 [报告]

发表于 2006-10-10 23:45 |只看该作者

在snort.conf的MySQL输出配置中，将用到数据库的用户名和密码。在snort.conf文件中，以下的字段需要进行设置：\r\n数据库名称，也就是snort\r\n数据库用户名，也就是rr\r\n数据库用户口令，也就是rr78x\r\n运行数据库服务器的主机，在这里就是安装Snort的同一台机器。如果数据库服务器和Snort安装在同一台机器上，主机名就是“localhost”。\r\n5.1.5第五步：在Snort数据库中创建表\r\n在创建一个Snort数据库并建立用户后，现在应当在数据库中建立一些表来存储数据。非常幸运，我们可以在contrib目录中找到脚本create_mysql来完成你所需要的所有表。如果你从http://www.snort.org下载了snort� ... 中找到contrib目录。\r\n下面的命令用这个脚本创建snort数据库中的所有表：\r\n[root@laptop]# mysql -h localhost -u rr -p snort < contrib/\r\ncreate_mysql\r\nEnter password:\r\n[root@laptop]#

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

76楼 [报告]

发表于 2006-10-10 23:46 |只看该作者

该命令的各个选项的解释如下：\r\n“-h localhost”告诉mysql客户端程序数据库服务器与客户端运行在同一台机器上。\r\n“-u rr”用来指定登录数据库服务器的用户名\r\n“-p”表示你将在下一行输入用户rr的口令\r\n “snort”表示将表创建到名为snort的数据库中\r\n最后一部分“<contrib./create_mysql”指定一个文件名，mysql客户端将从这个文件中读取命令。\r\n用下面的命令来察看所创建的表：\r\n[root@laptop]# mysql -h localhost -u rr -p snort\r\nEnter password:\r\nReading table information for completion of table and column\r\nnames\r\nYou can turn off this feature to get a quicker startup with -A\r\nWelcome to the MySQL monitor. Commands end with ; or \\g.\r\nYour MySQL connection id is 46 to server version: 3.23.36\r\nType \'help;\' or \'\\h\' for help. Type \'\\c\' to clear the buffer\r\nmysql> show tables;\r\n+------------------+\r\n| Tables_in_snort |\r\n+------------------+\r\n| data |\r\n| detail |\r\n| encoding |\r\n| event |\r\n| icmphdr |\r\n| iphdr |\r\n| opt |\r\n| reference |\r\n| reference_system |\r\n| schema |\r\n| sensor |\r\n| sig_class |\r\n| sig_reference |\r\n| signature |\r\n| tcphdr |\r\n| udphdr |\r\n+------------------+\r\n16 rows in set (0.00 sec)

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

77楼 [报告]

发表于 2006-10-10 23:46 |只看该作者

mysql>\r\n“show tables”命令用来显示当前打开的数据库中所有的表。上边列举了create_mysql脚本创建的16个表，每个表用来纪录关于Snort活动的不同部分的信息：\r\ndata表包含触发告警的每个包的载荷\r\ndetail表包含所记录包的信息的详细程度，这个表在默认情况下只包含两列,第一列为fast，第二列是full，表示不同的记录模式，这在前面已经做过表述。\r\nEncoding表显示纪录包的表马形式，默认情况有3种：hex,base64和ASCII。\r\nEvent表列举了所有的事件，并为这些事件打上时间戳。\r\nIcmphdr表中包含了记录到snort数据库中icmp包的头部信息，包括ICMP类型，编码，ID，序列号等等。\r\nIphdr表中包含了被记录的数据包中IP头部的所有字段信息，包括IP源和目的地址，IP头长度，TOS值，TTL值等等。\r\nOpt表中包含了一些选项。\r\nReference及reference_system表中包含了关于一些入侵行为的参考网址，你可以从中获得更多的信息。\r\nSchema表显示了数据库模型的版本。\r\nSensor表中包含了记录数据库的各个Snort探测器的相关信息。如果仅有一个Snort探测器，这个表就只有一排。如果有多个探测器，则每个探测器占一排。\r\nSig_class包含Snort规则不同级别的信息，例如“attemptedrecon”,“misc-attack”等等。\r\nSignature表中包含了关于产生告警的一些特征的信息。\r\nTcphdr表中包含了TCP类型数据包中TCP头部的信息。\r\nUdphdr表中包含了UDP类型数据包中UDP头部的信息，包括源和目的端口，长度和校验码。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

78楼 [报告]

发表于 2006-10-10 23:46 |只看该作者

如果你想了解每个表的结构，你可以在客户端中显示每个表的各个字段。下面的命令用来显示iphdr表的结构：\r\nmysql> describe iphdr;\r\n+----------+----------------------+------+-----+---------+-------+\r\n| Field | Type | Null | Key | Default | Extra |\r\n+----------+----------------------+------+-----+---------+-------+\r\n| sid | int(10) unsigned | | PRI | 0 | |\r\n| cid | int(10) unsigned | | PRI | 0 | |\r\n| ip_src | int(10) unsigned | | MUL | 0 | |\r\n| ip_dst | int(10) unsigned | | MUL | 0 | |\r\n| ip_ver | tinyint(3) unsigned | YES | | NULL | |\r\n| ip_hlen | tinyint(3) unsigned | YES | | NULL | |\r\n| ip_tos | tinyint(3) unsigned | YES | | NULL | |\r\n| ip_len | smallint(5) unsigned | YES | | NULL | |\r\n| ip_id | smallint(5) unsigned | YES | | NULL | |\r\n| ip_flags | tinyint(3) unsigned | YES | | NULL | |\r\n| ip_off | smallint(5) unsigned | YES | | NULL | |\r\n| ip_ttl | tinyint(3) unsigned | YES | | NULL | |\r\n| ip_proto | tinyint(3) unsigned | | | 0 | |\r\n| ip_csum | smallint(5) unsigned | YES | | NULL | |\r\n+----------+----------------------+------+-----+---------+-------+\r\n14 rows in set (0.00 sec)

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

79楼 [报告]

发表于 2006-10-10 23:46 |只看该作者

mysql>\r\n如果你想了解关于数据如何存储的详细信息，你可以在http://www.incident.org/snortdb/ 察看数据库的详细结构。\r\n5.1.5.1 创建附加表\r\n当你用一些其它的程序与Snort和数据库一同工作，希望将端口号映射到服务名称的时候，你将需要一些附加的映射信息。例如，TCP端口23是用来Telnet的，但是tcphar表中仅仅包含端口号码，并没有详细的描述。如果你想将源和目的端口表示为Telnet而不是数字23这种形式的时候，你需要这些信息。Snort附带了一个附加的脚本，使你能够处理这样的信息。在contrib目录中有一个snortdb-extra.zip的文件，将它解压，你就可以用它来创建附加的表：\r\n[root@laptop]# mysql -h localhost -u rr –p snort < contrib/\r\nsnortdb-extra\r\nEnter password:\r\n[root@laptop]#\r\n这个命令创建了3个表：protocols,services和flags。这些表中包含了关于不同协议、服务和标志位的详细信息。该脚本同时也为这些表构建数据。在snortdb-extra脚本中有关于这些表的表述。下面是这些表的列表：\r\nmysql> show tables;\r\n+------------------+\r\n| Tables_in_snort |\r\n+------------------+\r\n| data |\r\n| detail |\r\n| encoding |\r\n| event |\r\n| flags |\r\n| icmphdr |\r\n| iphdr |\r\n| opt |\r\n| protocols |\r\n| reference |\r\n| reference_system |\r\n| schema |\r\n| sensor |\r\n| services |\r\n| sig_class |\r\n| sig_reference |\r\n| signature |\r\n| tcphdr |\r\n| udphdr |\r\n+------------------+\r\n19 rows in set (0.01 sec)