• <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>
    

    <progress id="5koa6"></progress>
  • 

    <strong id="5koa6"></strong>
  • 

    
  
    
     
  
    
  
    
 
      劉慈欣談ChatGPT:人類的無能反而 劉慈欣談ChatGPT:人類的無能反而  
    

      OpenAI 因使用“竊取”的個人數據 OpenAI 因使用“竊取”的個人數據  
    

      搜狐回應員工遭遇工資補助詐騙: 搜狐回應員工遭遇工資補助詐騙:  
    

    
    
    
                   
    
    
  
    
  
    
    
    
  
    
  
    
    
    
      
    
        
    
          
    
          軟件測試 > 測試開發技術 > 軟件測試環境搭建 > 網絡服務器 > 
         
    
        
    
        
    
          
                   
    
        
    
      
    
    
    
  
    
  
    
    
    
  
    
  
    
    
    
      
    
        
    
           
    哈哈!真高興!snort+acid終于搞定了!
    
              
    發表于:2007-05-25來源:作者:點擊數:
              標簽:
              
    
              
    
                參考了很多的帖子,終于OK了,功能很強大,具體如圖: yameng 回復于:2005-05-01 21:15:11 兄弟,介紹點經驗吧. anstan 回復于:2005-05-02 13:34:52 能貼出你的安裝筆記嗎? squall1 回復于:2005-05-03 01:05:38 這兩天忙串門了,OK,我寫一下安裝筆記。 [
              
    
                      
            
          
    	
	參考了很多的帖子,終于OK了,功能很強大,具體如圖:










    
	
    
	
	




    
	
     yameng 回復于:2005-05-01 21:15:11

    兄弟,介紹點經驗吧.

    

     anstan 回復于:2005-05-02 13:34:52

    能貼出你的安裝筆記嗎?

    

     squall1 回復于:2005-05-03 01:05:38

    這兩天忙串門了,OK,我寫一下安裝筆記。

    

    [b:1632e3a287]打造免費的網絡入侵檢測系統——“低成本 + 高效益 = 企業獲利”

    [/b:1632e3a287]

    

    作者:CU-squall  

    發表于:2005年5月3日 01:00  可以不經作者同意自由傳播,請注明作者出處。

    主頁:http://www.grlinux.net  

    E-mail:squall@grlinux.net

    

    【簡 介】

      Snort是一個輕便的網絡入侵檢測系統,可以完成實時流量分析和對網絡上的IP包登錄進行測試等功能,能完成協議分析,內容查找/匹配,能用來探測多種攻擊和嗅探(如緩沖區溢出、秘密斷口掃描、CGI攻擊、SMB嗅探、拇紋采集嘗試等)。 

    

    前提:Apache要支持PHP,這樣我們才能在瀏覽器上通過acid分析日志,喜歡看文本日志的除外more /var/log/snort/alert

    

    需要的軟件包:

    ①httpd-2.0.52.tar.gz,http://httpd.apache.org/download.cgi

    ②mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz,

    http://dev.mysql.com/get/Downloads/MySQL-4.1/mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz/from/pick

    ③php-4.3.10.tar.gz,http://www.php.net/downloads.php

    ④snort+acid+adodb+jpgraph+libpcap+pcre這些包我已經打包好放我網站里了,地址:

    http://www.grlinux.net/squall/snort_soft.tar.bz2

    

    apache+mysql+php這里不介紹了,不清楚的到我那拿PDF的吧。

    

    (這里說明一下,最新的snort-2.3.3.tar.gz的contrib目錄里很多重要文件都沒有,所以按照參考教程又下了一個snort-2.0.0.tar.gz)

    

    一、準備工作

    # 把所有tar包放到/usr/local/src/下。

    # tar zxvf libpcap-0.7.2.tar.gz

    # cd libpcap-0.7.2

    # ./configure

    # make

    # make install

    # cd ..

    # tar zxvf pcre-5.0.tar.gz

    # ./configure

    # make

    # make install

    # 我這里沒有安裝zlib,因為我的系統里有,如果你要安裝新的zlib包,請先卸載自帶的包。

    

    二、安裝snort

    我們還是要編譯snort-2.3.3.tar.gz,因為很多規則都是最新的,至于contrib目錄里的文件我們用snort-2.0.0.tar.gz這個。

    

    # tar zxvf snort-2.3.3.tar.gz

    # tar zxvf snort-2.0.0.tar.gz

    # cd snort-2.3.3

    # ./configure --with-mysql=/usr/local/mysql

    # make 

    # make install

    # cd rules 

    # mkdir /etc/snort

    # mkdir /var/log/snort

    # cp * /etc/snort

    # cd ../etc

    # cp snort.conf /etc/snort

    # cp *.config /etc/snort

    # cd

    # vi /etc/snort/snort.conf

    

    # 把“# var HOME_NET 10.1.1.0/24”改成“var HOME_NET 192.168.0.0/24”你自己LAN內的地址,把前面的#號去掉。

    

    # 把“var RULE_PATH ../rules”改成“var RULE_PATH /etc/snort”

    

    # 把“# output database: log, mysql, user=root password=test dbname=db host=localhost”改成“output database: log, mysql, user=root password=123456 dbname=snort host=localhost”密碼改成你自己的,把前面的#號去掉。

    

    # 把“

    # include $RULE_PATH/web-attacks.rules

    # include $RULE_PATH/backdoor.rules

    # include $RULE_PATH/shellcode.rules

    # include $RULE_PATH/policy.rules

    # include $RULE_PATH/porn.rules

    # include $RULE_PATH/info.rules

    # include $RULE_PATH/icmp-info.rules

     include $RULE_PATH/virus.rules

    # include $RULE_PATH/chat.rules

    # include $RULE_PATH/multimedia.rules

    # include $RULE_PATH/p2p.rules”前面的#號刪除。

    

    # 修改完畢后,保存退出。

    

    三、建立snort數據庫

    # /usr/local/mysql/bin/mysql -uroot -p123456

    # create database snort;

    # grant INSERT,SELECT on root.* to snort@localhost;

    # exit

    # 這時我們進入snort2.0的contrib的目錄

    # cd /usr/local/src/snort-2.0.0/contrib/

    # /usr/local/mysql/bin/mysql -uroot -p123456 < create_mysql snort

    # zcat snortdb-extra.gz | /usr/local/mysql/bin/mysql -p123456 snort

    # 這里我加-uroot會報錯,等半根煙的功夫。

    # 進入mysql數據庫,看看snort數據庫中的表:

    # /usr/local/mysql/bin/mysql -uroot -p123456

    mysql>show databases;

    +------------+

    | Database

    +------------+

    | mysql

    | snort

    | test

    +------------+

    3 rows in set (0.00 sec)

    mysql>use snort;

    mysql>show tables; 將會有這些:

    +------------------+

    | Tables_in_snort |

    +------------------+

    | data

    | detail

    | encoding

    | event

    | flags

    | icmphdr

    | iphdr

    | opt

    | protocols

    | reference

    | reference_system

    | schema

    | sensor

    | services

    | sig_class

    | sig_reference

    | signature

    | tcphdr

    | udphdr

    +------------------+

    19 rows in set (0.00 sec)

    mysql>exit

    

    四、安裝配置Acid

    # 把acid-0.9.6b23.tar.gz、adodb330.tgz、jpgraph-1.11.tar.gz放到網頁根目錄,我這里是默認的。

    # cp a*.* /usr/local/apache/htdocs

    # cp jpgraph-1.11.tar.gz /usr/local/apache/htdocs

    # tar zxvf adodb330.tgz

    # tar zxvf jpgraph-1.11.tar.gz

    # mv jpgraph-1.11 jpgraph

    # tar zxvf acid-0.9.6b23.tar.gz

    # cd acid

    # vi acid_conf.php

    # 把“$DBlib_path = "";”  改成“$DBlib_path = "/usr/local/apache/htdocs/adodb"”

    

    # $alert_dbname   = "snort_log";  //改成snort

      $alert_host     = "localhost";

      $alert_port     = "";

      $alert_user     = "root";

      $alert_password = "mypassword"; //改成你的數據庫密碼

    

      /* Archive DB connection parameters */

      $archive_dbname   = "snort_archive";  //改成snort

      $archive_host     = "localhost";

      $archive_port     = "";

      $archive_user     = "root";

      $archive_password = "mypassword";”  //改成你的數據庫密碼

    

    # 把“$ChartLib_path = "";”  改成“$ChartLib_path = "/usr/local/apache/htdocs/jpgraph/src";”

    

    # 修改完畢后,保存退出。

    

    五、寫一個snort規則

    # cd /usr/local/

    # vi snort.sh

    #!/bin/sh

    snort -d -h 192.168.0.0/24 -l /var/log/snort -c /etc/snort/snort.conf -i eth0 -A full

    # 保存退出。

    # chmod 755 snort.sh

    

    六,啟動服務

    # /usr/local/apache/bin/apachectl start

    # cd /usr/local/mysql/

    # vi mysql_start.sh

    #!/bin/sh

    /usr/local/mysql/bin/mysqld_safe --user=mysql &

    # 保存退出。

    # chmod 755 mysql_start.sh

    # cp mysql_start.sh /usr/sbin/

    # ./mysql_start.sh

    # /usr/local/snort.sh

    # service named start

    

    七、進入web界面:

    # http://yourhost/acid/acid_main.php,點"Setup Page"鏈接 ->Create Acid AG

    # 訪問http://yourhost/acid將會看到ACID界面。

    

    八、測試IDS

    # 利用nmap,nessus,CIS或者X-scan對系統進行掃描,產生告警紀錄。

    # http://yourhost/acid 察看紀錄。

    # 至此,一個功能強大的IDS配置完畢。各位可以利用web界面遠程登陸,監控主機所處局域網,同時安裝  phpMyAdmin或webmin對mysql數據庫進行操控。

    

    參考:《構建小型的入侵檢測系統》以及bbs.chinaunix.net搜索引擎的帖子和《Snort(入侵檢測系統)中文手冊》

    

     squall1 回復于:2005-05-03 01:07:55

    圖1和2:











    

     squall1 回復于:2005-05-03 01:08:31

    圖3和4:











    

     norman_lu 回復于:2005-05-03 08:39:36

    snort-2.3.3.tar.gz的create_mysql在schema里

    

     squall1 回復于:2005-05-03 21:41:55

    [b:1dcbd75662][color=green:1dcbd75662]1.增加目錄驗證功能[/color:1dcbd75662][/b:1dcbd75662]

    在httpd.conf尾部加:

    [code:1:1dcbd75662]

    <Directory /usr/local/apache/htdocs/acid>

    

    Options Indexes FollowSymLinks 

    

    allowoverride authconfig 

    

    order allow,deny 

    

    allow from all

    

    </Directory>

    [/code:1:1dcbd75662]

    

    # touch /usr/bin/apache/users_passwd.txt

    # cd /usr/bin/apache/

    # bin/htpasswd -bc users_passwd.txt squall 123456

    # bin/htpasswd -b users_passwd.txt sqlunix 123456

    

    在acid目錄里vi .htaccess

    [code:1:1dcbd75662]

    AuthName "please input your username and password:" 

    

    AuthType basic 

    

    AuthUserFile /usr/local/apache/users_passwd.txtrequire 

    

    valid-user

    

    [/code:1:1dcbd75662]






    

     squall1 回復于:2005-05-03 22:06:42

    [b:f387fcdcbf][color=green:f387fcdcbf]2.增加snort頁面啟動管理功能[/color:f387fcdcbf][/b:f387fcdcbf]

    

    SnortCenter是一個基于Web的snort探針和規則管理系統,用于遠程修改snort探針的配置,起動、停止探針,編輯、分發snort特征碼規則。

    

    下載地址:

    http://users.pandora.be/larc/download/

    

    # cp snortcenter-v1.0-RC1.tar.gz /usr/local/apache/htdocs

    # tar zxvf snortcenter-v1.0-RC1.tar.gz

    # mv www sc

    # vi sc/

    # 改以下內容:

    $DBlib_path = "/usr/local/apache/htdocs/adodb/";

    

    $curl_path = "/usr/bin";

    

    $DBtype = "mysql";

    

    $DB_dbname   = "snortcenter";           # $DB_dbname   : MySQL database name of

    SnortCenter DB

    $DB_host     = "localhost";             # $DB_host     : host on which the DB is

     stored

    $DB_user     = "root";                  # $DB_user     : login to the database w

    ith this user

    $DB_password = "123456";                        # $DB_password : password of the

     DB user

    $DB_port     = "";                      # $DB_port     : port on which to access

     the DB (blank is default)

    (數據庫密碼改成你自己的)

    # 修改好后,保存退出。

    # 然后創建snortcenter的數據庫

    # mysql -uroot -p123456

    # create database snortcenter;

    # quit;

    # 在瀏覽器上鍵入http://192.168.0.11/sc,它會自動創建數據表,然后再次登入會讓你輸入用戶名和密碼,初始是admin,change.

    

    # 然后我們安裝snortcenter-agent-v1.0-RC1.tar.gz

    # cp snortcenter-agent-v1.0-RC1.tar.gz /opt

    # cd /opt

    # tar zxvf snortcenter-agent-v1.0-RC1.tar.gz

    # cd sensor

    # ./setup.sh,回答幾個問題即完成安裝,默認端口2525。

    # cp /etc/snort.conf /etc/snort.eth0.conf

    # 具體如圖:

    # 如要卸載到/etc/snort/目錄下,有一個uninstall文件,./uninstall即可卸載。











    

     squall1 回復于:2005-05-03 22:07:24

    圖3和4:











    

     bigbomb 回復于:2005-05-04 11:24:30

    辛苦了,我也一直在玩這個東東,但是玩了幾次都沒有成功,所以放棄了,我看看我錯在哪里吧!

    

     守夜人 回復于:2005-05-05 12:24:39

    snort是好東東,就是太占資源了,得專門用一臺服務器做才行

    

     squall1 回復于:2005-05-06 19:05:19

    [quote:d462aa8a1d="守夜人"]snort是好東東,就是太占資源了,得專門用一臺服務器做才行[/quote:d462aa8a1d]

    

    恩,沒錯。我做了一下實驗,上網5分鐘里,IDS記錄是179條。

    

    雖然天網也能探測書攻擊規則記錄,但和snort比還差得很遠。

    

    P42.0+512M內存我覺得就夠用了。

    

     duketang 回復于:2005-05-07 09:38:20

    acid讀不出數據~ 是哪個表中存放log? 好些沒有寫

    

     ipcfg 回復于:2005-05-07 21:43:47

    在普通交換機環境下,snort可以工作嗎

    

     squall1 回復于:2005-05-09 01:20:29

    可以啊,SNORT可以探測出多個網段地址。

    

    SNORT不等于SNIFFER。

    

     ipcfg 回復于:2005-05-09 09:43:34

    可我看snort的說明講,在建換機環境中,要求交換機有端口景象的功能,就是說可以把某些端口的數據流復制到一個指定的端口,在這個端口上安裝snort,來進行入侵偵測,不知道你用的什么交換機,我們這所有的交換機都不支持,

    

     haoyufu 回復于:2005-05-09 15:57:51

    上面的樓主請教你個問題我安照你上面做的已經做到最后了

    

    就是

    六,啟動服務 

    # /usr/local/apache/bin/apachectl start 

    # cd /usr/local/mysql/ 

    # vi mysql_start.sh 

    #!/bin/sh 

    /usr/local/mysql/bin/mysqld_safe --user=mysql & 

    # 保存退出。 

    # chmod 755 mysql_start.sh 

    # cp mysql_start.sh /usr/sbin/ 

    # ./mysql_start.sh 

    # /usr/local/snort.sh 

    # service named start 

    當我執行到./mysql_start.sh的時候

    系統告訴我,有一個進程已經存在

    A mysqld process already exists

    service named start也執行不了

    當我打開web界面的時候反映

    

    Error (p)connecting to DB : snort_log@localhost

    

    Check the DB connection variables in acid_conf.php 

    

                   = $alert_dbname   : MySQL database name where the alerts are stored 

                   = $alert_host     : host where the database is stored

                   = $alert_port     : port where the database is stored

                   = $alert_user     : username into the database

                   = $alert_password : password for the username

                  

    Database ERROR:Unknown database 'snort_log'

    

    

    

    請教樓主給指點一下,謝謝

    兄弟在這里多謝了

    

    haoyufu@ioz.ac.cn

    

     squall1 回復于:2005-05-09 23:41:57

    “當我執行到./mysql_start.sh的時候,系統告訴我,有一個進程已經存在,A mysqld process already exists” 

    [color=green:f7336b7ab9]

    啊,是的,得先重起一下數據庫,可用命令/usr/local/mysql/bin/mysqladmin -uroot -p123456 shutdown

    # cd /usr/local/mysql

    # vi mysql_stop.sh

    [code:1:f7336b7ab9]

    #!/bin/sh

    /usr/local/mysql/bin/mysqladmin -uroot -p123456 shutdown

    [/code:1:f7336b7ab9]

    # chmod 755 mysql_stop.sh

    # cp mysql_stop.sh /usr/sbin/

    [/color:f7336b7ab9]

    

    “service named start也執行不了”

    [color=green:f7336b7ab9]

    我使用的是LINUX系統。

    [/color:f7336b7ab9]

    

    “當我打開web界面的時候反映

    

    Error (p)connecting to DB : snort_log@localhost 

    

    Check the DB connection variables in acid_conf.php 

    

                  = $alert_dbname   : MySQL database name where the alerts are stored 

                  = $alert_host     : host where the database is stored 

                  = $alert_port     : port where the database is stored 

                  = $alert_user     : username into the database 

                  = $alert_password : password for the username 

                  

    Database ERROR:Unknown database 'snort_log' ”

    [color=green:f7336b7ab9]

    你看這條信息,Database ERROR:Unknown database 'snort_log' ,你的當前數據庫里沒有snort_log,你要更改acid_conf.php。

    [code:1:f7336b7ab9]

    # $alert_dbname   = "snort_log";  //改成snort

      $alert_host     = "localhost";

      $alert_port     = "";

      $alert_user     = "root";

      $alert_password = "mypassword"; //改成你的數據庫密碼

    

      /* Archive DB connection parameters */

      $archive_dbname   = "snort_archive";  //改成snort

      $archive_host     = "localhost";

      $archive_port     = "";

      $archive_user     = "root";

      $archive_password = "mypassword";”  //改成你的數據庫密碼

    [/code:1:f7336b7ab9]

    [/color:f7336b7ab9]

    

     haoyufu 回復于:2005-05-10 09:24:38

    謝謝上面的樓主

    我已經解決你的問題

    我在北京

    你呢???我qq:34662006

    有時間常聯系msn:haoyufu@hotmail.com

    mobiletel:13381466474 or 01081885492

    

    我叫郝玉富

    你呢怎么稱呼

    

     squall1 回復于:2005-05-10 14:00:24

    我也在北京,短信給你。

    

     haoyufu 回復于:2005-05-10 14:19:24

    上面的樓主還得打擾你一下

    

    我上午的acid已經成功了

    

    我接著往下配置的時候


    2.增加snort頁面啟動管理功能 

    

    SnortCenter是一個基于Web的snort探針和規則管理系統,用于遠程修改snort探針的配置,起動、停止探針,編輯、分發snort特征碼規則。 

    

    下載地址: 

    http://users.pandora.be/larc/download/ 

    

    # cp snortcenter-v1.0-RC1.tar.gz /usr/local/apache/htdocs 

    # tar zxvf snortcenter-v1.0-RC1.tar.gz 

    # mv www sc 

    # vi sc/config.php 

    # 改以下內容: 

    $DBlib_path = "/usr/local/apache/htdocs/adodb/"; 

    

    $curl_path = "/usr/bin"; 

    

    $DBtype = "mysql"; 

    

    $DB_dbname   = "snortcenter";           # $DB_dbname   : MySQL database name of 

    SnortCenter DB 

    $DB_host     = "localhost";             # $DB_host     : host on which the DB is 

    stored 

    $DB_user     = "root";                  # $DB_user     : login to the database w 

    ith this user 

    $DB_password = "123456";                        # $DB_password : password of the 

    DB user 

    $DB_port     = "";                      # $DB_port     : port on which to access 

    the DB (blank is default) 

    (數據庫密碼改成你自己的) 

    # 修改好后,保存退出。 

    # 然后創建snortcenter的數據庫 

    # mysql -uroot -p123456 

    # create database snortcenter; 

    # quit; 

    # 在瀏覽器上鍵入http://192.168.0.11/sc,它會自動創建數據表,然后再次登入會讓你輸入用戶名和密碼,初始是admin,change

    這一步的時候

    

    我打開ie出現下面的錯誤

    Error loading the DB Abstraction library: from "/usr/local/apache/htodcs/adodb/adodb.inc.php"

    

    Check the DB abstraction library variable $DBlib_path in acid_conf.php 

    

    The underlying database library currently used is ADODB, that can be downloaded at http://php.weblogs.com/adodb

    

    我已經檢查過了我的acid_config.php 了已經改過了

    

    怎么還是不成功呢

    

    haoyufu@ioz.ac.cn

    

     ipcfg 回復于:2005-05-10 15:18:14

    高興?。?!我在我的vm虛擬機上也安裝成功了,就是生成圖形報告的時候沒有2005 年

    

     ipcfg 回復于:2005-05-10 15:45:05

    稍稍修改了一下。把原來的php文件中的1999-2004改稱了2005-2010就可以了,

    

     haoyufu 回復于:2005-05-10 15:53:26

    上面的兄弟增加snort頁面啟動管理功能這個配置成功了嗎

    

    請教下問題

    

     haoyufu 回復于:2005-05-10 15:55:53

    snortcenter你配置成功了沒

    

     ipcfg 回復于:2005-05-10 17:07:11

    沒有加那個功能,是因為覺得加了也不知道怎莫用,等以后知識豐富付了,再加布遲

    

     haoyufu 回復于:2005-05-10 17:19:38

    不過人家都成功了啊 

    

    呵呵:)

    我們也得用呀

    

     squall1 回復于:2005-05-10 18:53:56

    那個頁面管理你要不要都兩可,因為系統要單獨開設一個默認端口2525給SnortCenter,系統多一個端口就帶來安全隱患,當然你要追求完美還是可以一試的。

    

    “Error loading the DB Abstraction library: from "/usr/local/apache/htodcs/adodb/adodb.inc.php" ”

    

    [color=green:f138be75aa]你確定一下你的Apache路徑正確否?adodb,sc,acid,jpgraph都在同一個目錄。[/color:f138be75aa]



    <strong id="5koa6"></strong>



  • 

     haoyufu 回復于:2005-05-11 09:04:03

    我這個和你的是一樣的

    

    已經都確認了

    都在一個目錄下面

    

     haoyufu 回復于:2005-05-11 11:07:48

    呵呵兄弟在問下

    

    我今天用nmap掃描了我的機器自己開放的端口很多 

    

    我用nmap -sS -O 10.0.2.30

    or nmap -v 10.0.2.30

    掃描完了

    我進配置的acid里面去看

    tcp ,udp ,其他的還是0%呀

    沒什么反映,還有我的nmap是裝到我的linux系統上了

    

    呵呵在幫我下好多問題

    有機會請你吃飯,我收到你的短信了

    

     ipcfg 回復于:2005-05-11 17:16:08

    請問樓主:這個問題你是怎么解決的。

    snort紀錄的太多了,連正常上網也記錄,都發放到了"unclassified   "類,既然是入侵檢測,正常訪問就不應該記錄阿,snort可以設置嗎??

    

     squall1 回復于:2005-05-11 18:27:11

    這個就不清楚了,不行你就換個2.0的吧。

    

    啊,你那臺IDS別再做別的了,不然他當然會把你的上網都會記錄下來,你單獨架一臺機子,就用來做入侵檢測用。不然你的數據庫會爆了。 :mrgreen:

    

     peng 回復于:2005-05-11 18:58:14

    不錯,可以我有了硬件的ids,不然真做個玩玩。。

    

     haoyufu 回復于:2005-05-11 22:15:00

    上面的樓主我有問題了

    

    幫我一下

    你的手機短信我弄丟了

    

    在個好嗎

    我的13381466474 or 81885492在北京

    

    我今天想看下自己都開了什么端口就nmap 10.0.2.30

     、然后呢我就來勤快進了進行setup

    然后把那里面的開機啟動的服務呢

    

    把前面的*去掉最后就剩下pop3,vsftp,telnet.mysql,imap

    我把network前面的*都去掉了

    

    最后呢重新啟動系統到x-windows那個界面呢

    就屏幕一閃一閃的

    不讓輸入root

    password 等

    

    沒辦法啟動系統了

    

    你們說該怎么辦呀

    給個指教吧

    

     ipcfg 回復于:2005-05-12 09:48:59

    [quote:f73c95b9b9="squall1"]這個就不清楚了,不行你就換個2.0的吧。

    

    啊,你那臺IDS別再做別的了,不然他當然會把你的上網都會記錄下來,你單獨架一臺機子,就用來做入侵檢測用。不然你的數據庫會爆了。 :mrgreen:[/quote:f73c95b9b9]

    有沒有好的資料推薦一下阿,這樣讓snort只對非法行為警報呢,我有一個linux的mrtg,讀取這臺機器的snmtp信息,全都當成警報了,

    注釋:我的這臺機器是win2003,在上邊安裝了vmware,snort在虛擬機上跑。我的msn:ipcfg@hotmail.com,希望一起交流

    

     squall1 回復于:2005-05-12 12:50:22

    我是參考的《Snort中文手冊》

    http://www.linuxfans.org/nuke/modules.php?name=News&file=article&op=view&sid=2592

    

     haoyufu 回復于:2005-05-12 12:50:40

    我想呵呵 squall的網站真不錯呀

    

    我剛看過

    呵呵http://www.grlinux.net

    呵呵

    

    牛..........

    呵呵

    

     haoyufu 回復于:2005-05-12 13:51:27

    我今天用nmap掃描了我的機器自己開放的端口很多 

    

    我用nmap -sS -O 10.0.2.30 

    or nmap -v 10.0.2.30 

    掃描完了 

    我進配置的acid里面去看 

    tcp ,udp ,其他的還是0%呀 

    沒什么反映,還有我的nmap是裝到我的linux系統上了

    

     haoyufu 回復于:2005-05-12 15:25:30

    我今天用nmap掃描了我的機器自己開放的端口很多 

    

    我用nmap -sS -O 10.0.2.30 

    or nmap -v 10.0.2.30 

    掃描完了 

    我進配置的acid里面去看 

    tcp ,udp ,其他的還是0%呀 

    沒什么反映,還有我的nmap是裝到我的linux系統上了 

    

    

    

    還有我的短口太多了

    

    我想屏蔽smux,smtp,x11怎么屏蔽呢

    在這里請教各位了
    <progress id="5koa6"></progress>






    

     ipcfg 回復于:2005-05-13 15:24:53

    開始的時候我也遇到了這個問題,安裝正常,就是不顯示,察看mysql數據庫,也沒有內容,說明snort就沒有記錄,診斷是現在shell下試一試,看有沒有問題,snort -c /etc/snort/snort.conf 看看報什么錯誤,照著錯誤修正就可以了,我的膽識報的事少一個文件,拷貝過去就可以了,有的文件可能要從低版本中找

    

     haoyufu 回復于:2005-05-15 19:27:09

    是呀我這個也缺少一個文件

    樓主是哪個文件呀

    snort-2.0.0 or snort-2.3.3它兩差哪個文件呀

    snort: error while loading shared libraries: libmysqlclient.so.14: cannot open sh

    ared object file: No such file or directory

    

     haoyufu 回復于:2005-05-15 19:32:33

    是把哪個文件拷貝到哪個位置呀

    請給下指點

    

    謝謝兄弟

    

     ipcfg 回復于:2005-05-16 13:10:11

    你的問題好像是mysql的問題,你看看你的snort.conf是不是指定的有問題

    

     haoyufu 回復于:2005-05-16 22:43:49

    沒有問題呀

    

    樓主急死了

    

    都快一周了

    

     haoyufu 回復于:2005-05-17 10:09:53

    我現在點sc這個文件夾顯示如下:

    

    Error loading the DB Abstraction library: from 

    

    "/usr/local/apache/htodcs/adodb/adodb.inc.php"

    

    Check the DB abstraction library variable $DBlib_path in acid_conf.php 

    

    The underlying database library currently used is ADODB, that can be downloaded at 

    

    http://php.weblogs.com/adodb

    

    我點acid的話顯示的是正常頁面

    

    不過用nmap 掃描的話什么反應也沒有....郁悶中........

    等帶高手解決

    

     yqzzcj 回復于:2005-05-18 09:39:26

    樓主 我安您所寫安裝完成了入侵系統檢測  snort能獲得數據 log日志中有記錄, 但是snort 并沒有把數據寫入 mysql  

    

    真不知啥辦

    

    請各位指教 !

    

     haoyufu 回復于:2005-05-19 08:52:24

    這個帖子高手呢

    

    我問了好多問題

    怎么沒人回答呀

    

    這里有配置成功的嗎

    haoyufu@ioz.ac.cn

    

     yameng 回復于:2005-05-19 09:38:41

    good!!

    

     ipcfg 回復于:2005-05-24 13:31:05

    我是在vmware上安裝的,參照文檔:

    http://www.antpower.org/Folder_AntTopic/AntFolder_Network_Security/AntFolder_IDSIPS/Folder_TechArticle/AntFile.2004-08-14.1458/view

    英文的很詳細,從linux 9.0 的安裝開始講起,

    

     司令lovelinux 回復于:2005-05-25 16:03:34

    我的snortcenter 配置完了,怎么顯示:

    Error - Access denied for 192.168.10.99?

    

     squall1 回復于:2005-05-26 16:58:32

    刪除Mysql空帳號

    

    # mysql -uroot -p123456

    # use mysql;

    # delete from user where user="";

    # delete from db where user="";

    # exit

    

     zhulinping 回復于:2005-05-27 10:27:21

    我使用這個規則的時候提示錯誤:

    ERROR:unknown preprocessor "http_decode"

    Fatal Error,Quitting..

    

    snort -d -h 192.168.0.0/24 -l /var/log/snort -c /etc/snort/snort.conf -i eth0 -A full

    

     蒙哥 回復于:2005-06-06 15:37:17

    我這里的錯誤是這樣的:apache 啟動后,進入http://192.168.0.4/acid/acid_main.php

    結果只顯示

    Analysis Console for Intrusion Databases

    這幾個字,其他一片空白,不知怎么回事,請指教。

    

     haoyufu 回復于:2005-06-07 11:00:15

    我的問題都n個月了

    到現在還沒解決

    

    就是nmap 10.0.2.30

    

    打開http://10.0.2.30/acid/acid_main.php

    里面什么反映也沒有

    

    不象樓主說的那樣

    

     我愛臭豆腐 回復于:2005-06-07 13:17:06

    如果是記錄的訪問量大的話一般的機器就不行了.需要很長時間才能夠統計出來.而且snort的rules 也開始收費了.一好的ids的rules和速度也是很關鍵的.

    

     oflyhigh 回復于:2005-06-09 14:52:00

    在WINDOWS下試驗了一下

    成功了

    

     guitarbug 回復于:2005-06-17 17:45:29

    在windows環境下,

    zcat snortdb-extra.gz | /usr/local/mysql/bin/mysql -p123456 snort

    這個怎么執行?

    我用phpmyadmin導入,不成功? :?: 

    請指點~

    

     wangf51 回復于:2005-07-28 22:47:08

    我在win32模式下一直不行的阿,怎么辦,惱了~~~,又沒有相關的群阿,大家交流一下,也互相學習呢?

    

     arrlon 回復于:2005-08-03 13:08:27

    幫忙啊!幫忙啊!!!!!!

    打開http://10.0.2.30/acid/acid_main.php 

    里面什么反映也沒有 

    

    不象樓主說的那樣,我的顯示為0%

    

     haoyufu 回復于:2005-08-03 15:01:40

    樓主幫下忙呀

    

     fvane 回復于:2005-08-07 11:29:09

    [quote:956c1f9eca="haoyufu"]我的問題都n個月了

    到現在還沒解決

    

    就是nmap 10.0.2.30

    

    打開http://10.0.2.30/acid/acid_main.php

    里面什么反映也沒有

    

    不象樓主說的那樣[/quote:956c1f9eca]

    

    樓主比較忙,不知你這個問題解決沒有.

    你可以進入MySQL看看數據表里有沒有內容:

    SQL>use snort;

    SQL>select * from tcphdr;

    如果為空的話說明沒有Snort數據寫入到數據庫.

    你可以有X-scan掃描你的電腦

    

     fvane 回復于:2005-08-07 11:32:44

    [quote:ae665650f6="haoyufu"]是呀我這個也缺少一個文件

    樓主是哪個文件呀

    snort-2.0.0 or snort-2.3.3它兩差哪個文件呀

    snort: error while loading shared libraries: libmysqlclient.so.14: cannot open sh

    ared object file: No such fil..........[/quote:ae665650f6]

    

    這個問題解決方法是從mysql的lib目錄下復制libmysqlclient.so.14到/usr/lib即可.

    你可以鍵入ldconfig看看系統lib的目錄在哪里.

    輸入updatedb

    然后用locate libmysqlclient.so.14找到此文件位置,復制至系統lib目錄.因為snort無法從lib中找到這個文件.

    

     haoyufu 回復于:2005-08-07 11:42:53

    樓上謝謝。我實驗下

    

    希望共同交流

    

     fvane 回復于:2005-08-07 11:52:40

    樓主可能比較忙,因為本人最近也在安裝測試Snort,所以就以上幾個問題逐一回答,樓主看看對不對.

    

    1.如果在acid中看到不數據是因為Snort資料沒有寫入到mysql中.大家可以進入mysql中查詢有沒有數據.

    和 mysql -uroot -p123456進入mysql

    MYSQL>use snort;

    MYSQL>select * from tcphdr;

    MYSQL>select * from udphdr;

    是否有顯示內容,如沒有表示snort未有數據寫入mysql,檢測配置,如有數據而acid顯示為0,則檢查acid的配置信息.

    

    2.建議大家看一看mysql的正確安裝位置,樓主的mysql安裝是在/usr/local/mysql,如果大家使用 ./configure   && make  && make install 安裝mysql的話是沒有/usr/local/mysql目錄的,而是在 /usr/local下,所以在編譯 snort時用 --with-mysql=/usr/local

    

    3.我是用snort_acid_rh9.pdf(Snort Install Manual)文件安裝成功的,這個好像是官方文檔,安裝方法說得很詳細(英文).大家可以去搜索此文件,如果沒有可以留下e-mail我傳給你們.

    

    4.Snort數據無法定入mysql主要是因為創建資料庫時的操作問題.我是用以下方法:(我的mysql安裝在/opt/mysql下)

    #/opt/apache/share/mysql/mysql.server start

    #/opt/apache/bin/mysql -uroot -p123456

    MYSQL>SET PASSWORD FOR root@localhost=PASSWORD('123456');

    MYSQL>create database snort;

    MYSQL>grant INSERT,SELECT on root.* to snort@localhost;

    MYSQL>SET PASSWORD FOR snort@localhost=PASSWORD('123456');

    MYSQL>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost;

    MYSQL>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort*. to snort;

    MYSQL>exit

    

    記得在安裝snort之前創建snort帳號:

    #groupadd snort

    #useradd -g snort snort

    

    這樣的話,在樓主的例子里作如下更改:

    # $alert_dbname   = "snort_log";   

     $alert_host     = "localhost"; 

     $alert_port     = ""; 

     $alert_user     = "snort";               //改成snort

     $alert_password = "123456"; 

    

     /* Archive DB connection parameters */ 

     $archive_dbname   = "snort";   

     $archive_host     = "localhost"; 

     $archive_port     = ""; 

     $archive_user     = "snort";            //改成snort

     $archive_password = "123456";”

    

    呵呵....

    

     haoyufu 回復于:2005-08-07 12:17:07

    樓上寫的不錯

    

    有時間交流

    

    呵呵現在好多寫畢業論文的要這個snort的

    

    

    我也是在給人家寫

    

    不過得調試成功

    

     squall1 回復于:2005-08-09 19:11:29

    我文筆有些差,有些問題解釋不是很清楚,這里也有一篇SNORT安裝文檔。大家可參考這個。[url]http://www.linuxsir.org/bbs/showthread.php?t=212462[/url]

    

     squall1 回復于:2005-08-09 19:33:23

    [b:b6d08b847a]2005.8.9.使用Stunnel增加MYSQL隧道加密明文會話[/b:b6d08b847a]

    

    SSL協議(安全套接字協議)是為了彌補一些已被廣泛應用的明文協議(如www)的安全缺陷而設計的加密通訊協議,它可以用服務器的安全證書對通訊內容進行加密,以防止黑客中途截聽通訊內容。

    

    加密軟體:Stunnel 

    官方網站:www.stunnel.org 

    官方介紹: 

    Stunnel is a program that allows you to encrypt arbitrary TCP connections inside SSL (Secure Sockets Layer) available on both Unix and Windows. Stunnel can allow you to secure non-SSL aware daemons and protocols (like POP, IMAP, LDAP, etc) by having Stunnel provide the encryption, requiring no changes to the daemon's code. The Stunnel source code is not a complete product -- you still require a functioning SSL library such as OpenSSL or SSLeay in order to compile stunnel. This means that stunnel can support whatever (and only) that which your SSL library can, without making any changes in the Stunnel code. 

    譯:Stunnel是一個允許你對任意的TCP連接會話進行加密的自由軟體,可以用到Unix和Windows系統上。Stunnel可以允許你通過Stunnel提供的自帶加密功能保護POP, IMAP, LDAP等協議進程,并且不需要改變進程的編碼。Stunnel開源代碼是一個不完整的產品 ——你仍然需要一個類似OpenSSL or SSLeay加密功能的軟體,以便編譯stunnel。這就意味著在沒有改變Stunnel源碼的同時,Stunnel可以支持你能提供的任何SSL二進制軟體。 

    

    軟體:①stunnel-4.10.tar.gz

    [url]http://www.stunnel.org/download/stunnel/src/stunnel-4.10.tar.gz[/url]

    

    # cp stunnel*.* /usr/local/src/ 

    # tar zxvf stunnel-4.10.tar.gz 

    # cd stunnel-4.10 

    # ./configure --prefix=/usr/local/stunnel 

    # make 

    # make install(這里會生成證書,具體如圖:)

    

    # cd /usr/local/stunnel/etc/stunnel 

    # cp stunnel.conf-sample stunnel.conf 

    # vi stunnel.conf

    [code:1:b6d08b847a]cert = /usr/local/stunnel/etc/stunnel/mail.pem [/code:1:b6d08b847a]

    # 改成/usr/local/stunnel/etc/stunnel/stunnel.pem

    [code:1:b6d08b847a]#client = yes[/code:1:b6d08b847a]

    # 去掉前面的#號。 

    [code:1:b6d08b847a][mysql] 

    accept  = 3307 

    connect = 127.0.0.1:3306 [/code:1:b6d08b847a]

    # 保存退出。

    # groupadd stunnel 

    # useradd stunnel -d /home/stunnel -g stunnel -s /bin/nologin 

    # chown stunnel:stunnel /usr/local/stunnel/etc/stunnel/stunnel.pem 

    # mkdir /var/tmp/stunnel 

    # chown stunnel:stunnel /var/tmp/stunnel 

    

    客戶機設置

    [code:1:b6d08b847a][mysql] 

    accept  = 127.0.0.1:3306 

    connect = 服務器IP:3307 [/code:1:b6d08b847a]

    

    主輔機均啟動stunnel,客戶機連接3307端口會自動轉向服務器上的3306端口。

    [/code]






    

     小虎牙 回復于:2005-08-26 12:37:16

    樓主我有一個問題想請教一下

    

    按你的方法我的snort都有安裝成功所有的界面也都有了

    

    基本上算成功了可是當我用X-can掃描的時候在/var/log/snort就有看到很

    

    多以IP地址的文件夾我想可能這就是我們所要的

    

    但是我用IE http://Ip/acid防問的時候里面還和當初安裝的時候一樣

    

    跟本什么內容也沒有我不知道這是為什么?

    

    我想這個界面是不是就是讀取log里面所記下的內容呢?

    

    為什么我的就沒有顯示呢?

    

     fyf130 回復于:2005-09-01 10:09:32

    SNORT不一定非得配數據庫,直接記錄到文件中就可以;另外記錄的內容也不一定非用默認的規則,可以配置rules/目錄下的各文件,在文件中可以指定任意的規則,如:alert\log\pass\等;數據源與目的都是可選的!

    

     zaotingting 回復于:2005-09-12 08:40:27

    C:\mysql\bin>mysql -p < c:\snort\contrib\create_mysql;

    Enter password: ******

    ERROR 1045: Access denied for user: 'ODBC@localhost' (Using password: YES)

    我輸入密碼后就出現錯誤,請問是什么原因啊

    

     我愛臭豆腐 回復于:2005-09-12 08:45:58

    你的用戶名和口令有問題.

    

     zaotingting 回復于:2005-09-12 09:08:53

    我現在就是在windows下安裝snort,可是就是不能成功。怎么在mysql里建立snort表???

    

     zaotingting 回復于:2005-09-12 09:10:31

    我也是這個問題,不知怎么導入snort表,請問你是否解決了?我的qq:215551479,可否交流一下。

    

	
    		
	
    
	
    

    

      



           
    原文轉自:http://www.kjueaiud.com
    
           
    
  
    


    
           
          
    
            
      
              
            
    
          
    
         
          
 
    
           

          
    

          
        
      
    
   
   
    
      
    
        
    
          
     相關文章
    
        
    
        
    
          
        
    
        
    
       
	   
	   
	   
  
    
   
          
                   
    
         
   
  
    




    
        
      
    
      
    
        
    
          
     軟件測試沙龍 More>> 
    
        
    
        
     
        
        
        
        
    
      
    
      
    
        
    
          
     新浪微博More>>
    
        
    
        
    
          
        
    
      
    
      ...
      
    
          
     熱門標簽 
    
        
    
        
    
          
          
    
            
             
      
              
      • 
              
      • 
              
      • 
              
      • 
            
    
          
    
        
    
      
    
  

    
    
    
      
    
    
  
    



老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

    • <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>