基于Snort的入侵检测系统 [复制链接]

论坛徽章:: 1

81楼 [报告]

发表于 2006-10-27 23:40 |只看该作者

ACID是一种通过web界面来分析察看Snort数据的工具。它是用PHP编写的，与Snort和MySQL或其他数据库一同工作，通过web服务器，使用户能够方便的访问数据。除了和Snort一同工作外，ACID也可以被用户其他一些安全相关的产品，如防火墙和网络监控等。\r\n本章将讨论ACID与Snort及MySQL的整合，ACID的图形化特点能够给你很好的帮助。\r\n除了ACID外，本章也会介绍一些关于SnortSnarf的基本信息，SnortSnarf是另外一种通过web界面来分析Snort数据的工具。本书假定你用Apache作为web服务器。\r\n6．1什么是ACID？\r\nACID包括一些PHP脚本和配置文件，它们可以收集和分析数据库中的信息并通过web页面表示。用户通过web浏览器与ACID交互。为使ACID能够使用，你的系统中需要web服务器，MySQL以及PHP，这些都随RedHat一起分发。ACID的最近版本可以在http://www.cer.org/kb/acid下载。\r\nACID具有很多特性：\r\n1、可以进行基于多种条件的查询，如源和目的地址、端口，时间等等，如图6-7所示。\r\n2、包头部及载荷内容的察看，如图6-6所示的ICMP包。\r\n3、告警可以按产生类别管理，输出，删除，或发送到某个e-mail地址。\r\n4、可以基于时间、协议、IP地址、段口号等产生可视化图表。\r\n5、可以产生数据库的快照，例如察看最后24小时的告警，单独的告警以及某种频率的告警等等，如图6-7所示。\r\n6、可以通过Internet的whois数据库察看IP地址的所有者，如果某个IP正在攻击你，你可以联系负责人以采取措施。\r\n你可以通过URL来访问ACID，例如http://www.conformix.com/acid/， ... 菘獾挠没兔苈搿�\r\n 为了更好的表述，我们现在来看看当某个人试图入侵时，系统会发生一些什么：\r\n入侵者试图进入你的网络\r\nSnort探测器根据规则检测到入侵行为，根据snort.conf的设置，将信息记录到MySQL数据库。\r\n用户启动浏览器，连接到MySQL所在的web服务器，并请求PHP页面。\r\nPHP引擎连接到数据库，并从数据库服务器获取信息。\r\nWeb服务器处理信息，并向浏览器发送页面，这样用户就可以看到入侵信息。\r\n这时用户可以通过web页面对数据进行各种操作。\r\n\r\n本章的后面叙述这些工具的安装和配置。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

82楼 [报告]

发表于 2006-10-27 23:41 |只看该作者

6．2安装和配置\r\nACID需要PHPLOT，GD库才能正常工作。幸好，这些组件是相互独立的，你可以在安装的时候不需要考虑安装顺序。下面是安装步骤：\r\n1、安装并测试Snort。\r\n2、安装并测试MySQL，建立相关的数据库和表。\r\n3、安装Apache。\r\n4、在http://www.cert.org/kb/acid下载A ... 飧瞿柯家残砘岵煌�\r\n5、安装PHP，你可以在http://www.php.net下载或者用RedH ... 魑？榘沧昂昧恕�\r\n6、从http://www.boutell.com/gd/下载并 ... /lib.libgd.so文件。\r\n7、从http://www.phplot.com下载PHPLOT� ... web页面中产生图形。\r\n8、从http://php.weblogs.com/adodb下载 ... faq来获得更多信息。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

83楼 [报告]

发表于 2006-10-27 23:41 |只看该作者

现在我们详细叙述安装过程，我假定你已经作了以下的事情：\r\nMySQL数据库服务器已被安装。\r\nSnort已经安装完成并配置好与数据库的接口。\r\n已经安装完成Apache，GD库和PHP。\r\n\r\n现在我们就可以下载并安装下面的软件\r\n下载ACID文件并放在/opt目录下。\r\n下载ADODB文件并放在/opt目录下。\r\n下载PHPLOT文件并放在/opt目录下。\r\n切换当前目录到/var/www/html目录。\r\n运行命令“tar zxvf /opt/acid-0.9.6b21.tar.gz.”，这样会创建/var/www/html/acid目录，并将ACID文件存放至此。\r\n切换当前目录到/var/www/html/acid。\r\n运行命令“tar zxvf /opt/adodb221.tgz”将ADODB文件释放到/var/www/html/acid/adodb目录中。\r\n用命令“tar zxvf /opt/phplot-4.4.6.tar.gz”释放PHPLOT文件到目录/var/www/html/acid/phplot-4.4.6中。\r\n在mysql客户端中用命令“create database snort_archive;”创建一个新的数据库，这个数据库被ACID用来存放就得数据。Snort本身并不需要它来存放数据。如果你不需要备份旧的数据，可以跳过这一步。\r\n把刚才创建的数据库的管理权限赋予用户，例如rr，在客户端用命令： “grant CREATE,INSERT,DELETE,UPDATE,SELECT on snort_archive.* to rr@localhost;”。\r\n用命令“mysql -u rr –p snort_archive <contrib/create_mysql”为数据库创建所用到的表。\r\n将/etc/php.ini中的display_errors变量的值设为off。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

84楼 [报告]

发表于 2006-10-27 23:41 |只看该作者

现在要配置ACID使之能够与MySQL数据库交互，并使Snort能够使用PHPLOT软件包。我们需要修改配置文件acid_conf.php中的一些参数，这个文件在你释放ACID文件的目录，你需要做以下设置：\r\nADODB文件的位置在这里是./adodb，你可以根据自己的情况修改。\r\n数据库服务器的类型，在这里是mysql。\r\nMySQL记录Snort数据的数据库名。\r\nMySQL数据库服务器名称或者IP地址。\r\nMySQL数据库用户名和口令。\r\n备份数据库的名称，如果你备份数据的话。\r\n备份数据库的服务器主机名或者IP地址，在这里，是与snort数据库相同的，都是localhost。\r\nPHPLOT文件的位置，在这里是./phplot-4.4.6。\r\n这些信息在acid_conf.php文件的开始部分，下面是一个实例：\r\n<?php\r\n$ACID_VERSION = \"0.9.6b21\";\r\n/* Path to the DB abstraction library\r\n* (Note: DO NOT include a trailing backslash after the\r\n* directory)\r\n* e.g. $foo = \"/tmp\" [OK]\r\n* $foo = \"/tmp/\" [OK]\r\n* $foo = \"c:\\tmp\" [OK]\r\n* $foo = \"c:\\tmp\\\" [WRONG]\r\n*/\r\n$DBlib_path = \"./adodb\";\r\n/* The type of underlying alert database\r\n*\r\n* MySQL : \"mysql\"\r\n* PostgresSQL : \"postgres\"\r\n* MS SQL Server : \"mssql\"\r\n*/\r\n$DBtype = \"mysql\";\r\n/* Alert DB connection parameters\r\n* - $alert_dbname : MySQL database name of Snort\r\n: alert DB\r\n* - $alert_host : host on which the DB is stored\r\n* - $alert_port : port on which to access the DB\r\n* - $alert_user : login to the database with\r\n: this user\r\n* - $alert_password : password of the DB user

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

85楼 [报告]

发表于 2006-10-27 23:41 |只看该作者

* This information can be gleaned from the Snort database\r\n* output plugin configuration.\r\n*/\r\n$alert_dbname = \"snort\";\r\n$alert_host = \"localhost\";\r\n$alert_port = \"\";\r\n$alert_user = \"rr\";\r\n$alert_password = \"rr78x\";\r\n/* Archive DB connection parameters */\r\n$archive_dbname = \"snort_archive\";\r\n$archive_host = \"localhost\";\r\n$archive_port = \"\";\r\n$archive_user = \"rr\";\r\n$archive_password = \"rr78x\";\r\n/* Type of DB connection to use\r\n* 1 : use a persistant connection (pconnect)\r\n* 2 : use a normal connection (connect)\r\n*/\r\n$db_connect_method = 1;\r\n/* Path to the graphing library\r\n* (Note: DO NOT include a trailing backslash after the\r\ndirectory)\r\n*/\r\n$ChartLib_path = \"./phplot-4.4.6\";\r\n在这里，我们设置的用户名、口令和数据库名和在snort.conf中是相同的，下面是对配置文件的解释：\r\n下面的一行用来设置ADODB文件的路径：\r\n$DBlib_path = \"./adodb\";\r\n下面的一行用来设置数据库的类型：\r\n$DBtype = \"mysql\";\r\n下面的几行用来设置Snort的主数据库信息：\r\n$alert_dbname = \"snort\";\r\n$alert_host = \"localhost\";\r\n$alert_port = \"\";\r\n$alert_user = \"rr\";\r\n$alert_password = \"rr78x\";\r\n下面的几行用来设置Snort备份数据库信息：\r\n$alert_dbname = \"snort_archive\";\r\n$alert_host = \"localhost\";\r\n$alert_port = \"\";\r\n$alert_user = \"rr\";\r\n$alert_password = \"rr78x\";\r\n下面的一行用来这是PHPLOT文件的路径：\r\n$ChartLib_path = \"./phplot-4.4.6\";\r\n配置完成后，你就可以用web界面访问ACID了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

86楼 [报告]

发表于 2006-10-27 23:42 |只看该作者

6．3使用ACID\r\n完成前面的工作后，你可以用URL来访问ACID了： http://<你的web服务器>/acid/。例如，我的web服务器的地址是192.168.1.2,因此，我就用http://192.168.1.2/acid/。\r\n第一次访问的时候，你还需要通过web界面做一些设置，如图6-1所示。\r\n在这个窗口，点击Setup页面连接，页面就会转到DB设置页面，如图6-2所示。\r\n在这个页面，点击“Create ACID AG”连接，ACID就会在snort数据库中创建一些自己所需要的表，以支持Snort。图6-3显示了创建新表的结果。\r\n 在图6-3所示的页面，你可以点击“Main Page”到主页面。\r\n6-1，6-2，6-3页面在你下一次使用ACID的时候就不会出现了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

87楼 [报告]

发表于 2006-10-27 23:42 |只看该作者

6.3.1ACID主页面\r\nACID主页面显示当前数据的概要。它用不同的部分分组显示信息。你可以看到各个协议的流量概况，取得某个Snort感应器的快照信息，搜索数据等等，如图6-4所示。\r\n\r\n点击图6-4上面的连接，你可以看到大量的信息。\r\n\r\n向数据库记录数据的探测器列表。\r\n告警的数量及详细信息。\r\n所捕获的包的源地址，你可以从中察看谁在试图攻击你的网络。你也可以通过相关连接来察看whois数据库。\r\n所捕获的包的目的地址。\r\n源和目的端口。\r\n与特定协议相关的告警，如TCP、UDP、ICMP告警。\r\n查找特定类型的告警和日志条目。\r\n频率最高的告警。\r\n告警数据的图表，目前这个功能还在实验中。\r\n\r\n在下面的屏幕截图中你可以了解一些重要的信息，但通过实践你可以了解，ACID能够提供给你更多的有用信息。\r\n6.3.1协议相关数据列表\r\n在主页面，你可以点击一个协议来取得所记录的关于这个协议的包的信息。图6-5显示的是关于ICMP协议信息的屏幕截图。在屏幕的下面，你可以看到15个包的信息被记录到数据库。你可以点击其中任意一个来获得关于这个包的详细信息。\r\n6.3.3告警信息细节\r\n图6-6显示了某个你在图6-5看到的ICMP包的细节，其中包含很多部分，每部分显示了数据包的一个层面，最上面的部分是关于这个告警的总体信息。IP部分显示了IP头部的所有部分，ICMP头部显示了ICMP数据，接着是载荷。载荷同时以16进制和ASCII码形式表示。\r\n6.3.4 查询\r\nACID的一个重要特性是可以用一些参数来查询日志和告警，例如：\r\n某个探测器\r\n开始和结束的时间\r\n源和目的地址\r\nIP头部的不同字段\r\n传输层协议\r\nIP包载荷中的字符\r\n\r\n如图6-7,执行查询是非常简单的，你只要点击“Query DB”就可以显示所查询的数据。\r\n例如，如果你想在所有的告警信息中查询包含字符“ATTACK RESPONSE”的包，你可以像图6-8那样填充信息。\r\n查询结果如6-9所示。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

88楼 [报告]

发表于 2006-10-27 23:42 |只看该作者

6.3.查询whois数据库\r\n你可以点击任何一个IP地址并选择某个whois数据库来查询whois信息，例如你可以通过位于http://www.arin.net的ARIN，例如� ... 6.16.52的查询结果。\r\n在处理网络安全问题的时候，这种信息是非常有用的，往往在发生相关问题的第一步，你要查询入侵者是谁，这种信息会给你一些有用的帮助。\r\n6.3.6产生图表\r\nACID的绘图功能仍然在实验中，ACID提供一个连接用来产生图表，你需要选择数据和图表类型。例如，你可以产生最近5天的告警的线图或者直方图，图6-12是一个实例。\r\nPHPLOT被用来在后台产生图表，你也可以用其他如JPRAPH来代替它。\r\n6.3.7Snort数据库存档\r\n数据库snort_archive用来从主数据库存档数据，利用ACID，你可以将告警从主数据库复制或者移动到存档数据库。\r\n你可以选择将整个关于数据库的查询存档或者存档某些查询。\r\n6.3.8ACID的表\r\n当你第一次运行ACID的时候，它在Snort数据库中创建了一些自己的表，这些表用作ACID的管理功能。\r\n下面是运行ACID前后MySQL的snort数据库中表的对比：\r\n之前：\r\nmysql> show tables;\r\n+------------------+\r\n| Tables_in_snort |\r\n+------------------+\r\n| data |\r\n| detail |\r\n| encoding |\r\n| event |\r\n| flags |\r\n| icmphdr |\r\n| iphdr |\r\n| opt |\r\n| protocols |\r\n| reference |\r\n| reference_system |\r\n| schema |\r\n| sensor |\r\n| services |\r\n| sig_class |\r\n| sig_reference |\r\n| signature |\r\n| tcphdr |\r\n| udphdr |\r\n+------------------+

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

89楼 [报告]

发表于 2006-10-27 23:42 |只看该作者

19 rows in set (0.01 sec)\r\nmysql>\r\n\r\n之后：\r\nmysql> show tables;\r\n+------------------+\r\n| Tables_in_snort |\r\n+------------------+\r\n| acid_ag |\r\n| acid_ag_alert |\r\n| acid_event |\r\n| acid_ip_cache |\r\n| data |\r\n| detail |\r\n| encoding |\r\n| event |\r\n| flags |\r\n| icmphdr |\r\n| iphdr |\r\n| opt |\r\n| protocols |\r\n| reference |\r\n| reference_system |\r\n| schema |\r\n| sensor |\r\n| services |\r\n| sig_class |\r\n| sig_reference |\r\n| signature |\r\n| tcphdr |\r\n| udphdr |\r\n+------------------+\r\n23 rows in set (0.00 sec)\r\nmysql>\r\n前面4个表是ACID新建立的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

90楼 [报告]

发表于 2006-10-27 23:42 |只看该作者

6.4SnortSnarf\r\nSnortSnarf是另外一个用web界面来显示Snort数据的工具。你可以在http://www.silicondefense.com/so ... 过web浏览器来察看。\r\nsnortsnarf.pl /var/log/snort/alert -d /var/www/html/snortsnarf\r\n下面的命令从localhost上的MySQL数据库提取数据，它用到了前面我们设置的用户名和口令。\r\nsnortsnarf.pl rr:rr78x@snort@localhost -d /var/www/html/snortsnarf\r\n你可以用cron来使SnortSnarf定期运行，图6-15显示了SnortSnarf产生的主页面，它提供了告警信息的基本情况。\r\n图6-16是关于某个告警的信息，你可以点击6-15所示的告警条目来得到这样的信息。\r\n图6-17是whois查询的屏幕截图。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

1 2 3 4 5 6 7 8910 / 10 页下一页

返回列表

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › 基于Snort的入侵检测系统