【原创】推荐大家使用一个入侵测系统+主动防火墙-->;Snort+Guardian
--------------------------------------------------------------------------------
Snort 是一个开源的轻量级入侵监测系统,可以监测网络上的异常情况,给出报告;
Guardian是基于Snort+IPTables的一个主动防火墙,它分析Snort的日志文件,根据一定的判据自动将某些恶意的IP自动加入IPTables的输入链,将其数据报丢弃。
我自使用Snort+Guardian以来,每天可以看到很多的恶意行为被终止,心里很是高兴!
推荐大家使用!
安装步骤:
1)安装Snort:
*现在Snort & Guardian,目前下载地址为:
http://www.snort.org/dl/snort-2.3.0RC2.tar.gz
http://www.snort.org/dl/contrib/ ... guardian-1.6.tar.gz
*将上述文件拷贝至/tmp
*tar zxvf *.tgz
*cd snort-2.3.0RC2
*./configure
*make
*make install
*mkdir /etc/snort
*cd /etc/snort
*wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
* tar zxvf snortrules-snapshot-CURRENT.tar.gz
*mkdir /var/log/snort
*cd /etc
*vi snort.conf
修改后一些关键设置如下:
var HOME_NET yournetwork
var RULE_PATH /etc/snort/rules
preprocessor http_inspect: global \
iis_unicode_map /etc/snort/rules/unicode.map 1252
include /etc/snort/rules/reference.config
include /etc/snort/rules/classification.config
如:yournetwork 220.8.0.0/16
同时,可以选择将类似
include $RULE_PATH/local.rules
等,前面的#号去掉,设置自己的规则集
* /usr/local/bin/snort -D -l /var/log/snort -c /etc/snort.conf
* 将上一条命令写入/etc/rc.d/rc.local
2)安装guardian---需要perl支持
* cd /tmp
* tar zxvf guardian-1.6.tar.gz
* cd guardian-1.6
* echo >; /etc/guardian.ignore
* cp guardian.pl /usr/local/bin/.
* cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
* cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
* cp guardian.conf /etc/.
* vi /etc/guardian.conf
如下:
HostGatewayByte 1
# guardian的日志文件
LogFile /var/log/guardian.log
#guardian从何处读取snort的日志
AlertFile /var/log/snort/alert
#将你需要忽略的IP放在此文件中
IgnoreFile /etc/guardian.ignore
# 封锁IP的最长时间,99999999为没有时限
TimeLimit 86400
* /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
* 将上一条命令加入 /etc/rc.d/rc.local
至此,完成设置
注意:
1)snort的规则文件经常更新,可以使用如下脚本自动更新:
#!/bin/sh
cd /etc/snort
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
tar zxvf snortrules-snapshot-CURRENT.tar.gz
exit 0
*将上述脚本存为snortupdate,并放置到/etc/cron.daily/下,可以每天更新一次;
2)guardian有时会自动退出,可以使用如下脚本解决:
#!/usr/bin/perl
use Proc::ProcessTable;
$found=0;
$t = new Proc::ProcessTable;
$g = "guardian.pl";
foreach $p ( @{$t->;table} ){
$f=($p->;cmndline =~ m/guardian/);
if($f==1)
{$found=1;
last;
}
}
if($found == 1)
{
print "guardian is alive!\n";
}
else
{
print "guardian is dead!\n";
print "restart guardian now ... \n";
system "/usr/local/bin/guardian.pl -c /etc/guardian.conf";
}
将上述脚本存为testguardian,放置到/etc/cron.hourly下,意思为:每1小时检测guardian是否存活,如果已经死亡就重新启动guardian
chmod +x /etc/cron.hourly/testguardian
同时,编辑/etc/crontab
在path一行加入/usr/local/bin
脚本:killguardian
#!/usr/bin/perl
#杀死当前guardian.pl进程,需要安装perl module Proc::ProcessTable
#访问http://www.cpan.org可以获得上述module
use Proc::ProcessTable;
$t = new Proc::ProcessTable;
foreach $p (@{$t->;table})
{
kill 9, $p->;pid if $p->;cmndline =~ 'guardian.pl';
}
剑心通明 回复于:2005-01-19 09:32:43
这个是在哪装的?放到自己机器上还是整网的代理上?
chd1998 回复于:2005-01-19 15:09:29
在你自己的外网机器上,监测公网网卡
蓝点之光 回复于:2005-01-19 18:36:55
只能Linux用吧!
chd1998 回复于:2005-01-21 08:35:33
有 windows 版!
西门飞 回复于:2005-01-21 17:40:31
where is for windows ?
剑心通明 回复于:2005-01-21 18:27:58
引用:原帖由 "chd1998"]在你自己的外网机器上,监测公网网卡
发表:
我们上网都是通过代理服务器上网的,那就是我要在代理服务器上装了?
chd1998 回复于:2005-01-22 10:30:55
引用:原帖由 "剑心通明" 发表:
我们上网都是通过代理服务器上网的,那就是我要在代理服务器上装了?
是的,如果你的代理服务器的外网网卡是eth1,在snort.conf中还需要修改监测的网卡为eth1.
无华 回复于:2005-01-23 09:03:23
用过Snort,正愁没有配套的,多谢!
gljia.yl 回复于:2005-01-26 09:16:49
我按照上述的步骤在RedHat AS3.0 上安装并配置了snort ,但是在启动snort时报:
ERROR: Unable to open rules file: etc/snort/rules/bad-traffic.rules or ./etc/snort/rules/bad-traffic.rules
Fatal Error, Quitting..
而在/etc/snort/rules 下有bad-traffic.rules 文件且是直接从www.snort.org 下载的,为何会是这样.
chd1998 回复于:2005-01-27 06:40:14
引用:原帖由 "gljia.yl" 发表:
我按照上述的步骤在RedHat AS3.0 上安装并配置了snort ,但是在启动snort时报:
ERROR: Unable to open rules file: etc/snort/rules/bad-traffic.rules or ./etc/snort/rules/bad-traffic.rules
Fatal Error, Quitt..........
cd /etc/snort
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
tar zxvf snortrules-snapshot-CURRENT.tar.gz
lookin 回复于:2005-01-27 12:00:34
我装了snort,启动时没有报错,但是/var/log/snort/里面的日志就是为空,为什么?我用nmap在客户端做测试,服务器端根本没有记录任何内容。我直接用snort -v 来启动,终端也没有任何访问的信息显示,不知道是怎么回事?还要安装其它软件么?查看了日志,里面snort启动最后也是successful的。
谢谢.
lookin 回复于:2005-01-27 18:42:18
问题解决了。
但是guardian_unblock.sh这个文件删除规则的时候,居然用ipchains命令,查看了一下guardian-1.6.tar.gz包,里面的iptables_unblock.sh就是写错的........
gjpinyue 回复于:2005-01-27 18:51:48
求助:有哪位大侠有snort+guardian+bridge(网桥式防火墙),阻止DDOS攻击的成功经验?
jimson 回复于:2005-01-30 00:12:34
OpenIDS!!!
大雪飞扬 回复于:2005-01-31 14:36:57
......
* tar zxvf snortrules-snapshot-CURRENT.tar.gz
*mkdir /var/log/snort
*cd /etc
*vi snort.conf
我作到到上面这一步时,发现在/etc目录下根本就没有snort.conf文件,用vi编辑的是一个新文件,这是怎么会事?
lues 回复于:2005-01-31 17:15:55
引用:原帖由 "大雪飞扬" 发表:
......
* tar zxvf snortrules-snapshot-CURRENT.tar.gz
*mkdir /var/log/snort
*cd /etc
*vi snort.conf
我作到到上面这一步时,发现在/etc目录下根本就没有snort.conf文件,用vi编辑的是一个新文件,这..........
我也是碰到了这个问题
大雪飞扬 回复于:2005-02-01 08:50:02
up!!!那位dx能支持一下。。。
chd1998 回复于:2005-02-01 21:55:29
引用:原帖由 "大雪飞扬"]up!!!那位dx能支持一下。。。
发表:
奇怪!
给我你的email, 我mail一个给你。
天行者cn 回复于:2005-02-01 21:56:42
在snort的解压目录里找,不要到RULES的解压目录里去找
badb0y 回复于:2005-02-02 08:53:49
有WIN下的呀,http://www.11k.net/Info/View-Info-157.html有详细说明
lues 回复于:2005-02-03 14:09:51
我现在将/etc/snort/rules/snort.conf拷贝到了/etc 不知道有没有效果
[root@wa-wa root]# cp /etc/snort/rules/snort.conf /etc
大雪飞扬 回复于:2005-02-05 09:34:20
lues,你用的是2.3.0吧,换成2.2应该就有了,我想2.3rc2应该也有
不过,我这边日志里也没有看到什么东西?
另外,也不知道snort到底是怎么用的,不知那位大虾能给讲解一下。
chd1998 回复于:2005-02-06 01:07:53
snort现在升级到2.3.0了
大雪飞扬 回复于:2005-02-06 08:22:39
引用:原帖由 "大雪飞扬" 发表:
lues,你用的是2.3.0吧,换成2.2应该就有了,我想2.3rc2应该也有
不过,我这边日志里也没有看到什么东西?
另外,也不知道snort到底是怎么用的,不知那位大虾能给讲解一下。
再顶一下!!!
大雪飞扬 回复于:2005-02-08 10:36:16
引用:原帖由 "大雪飞扬" 发表:
lues,你用的是2.3.0吧,换成2.2应该就有了,我想2.3rc2应该也有
不过,我这边日志里也没有看到什么东西?
另外,也不知道snort到底是怎么用的,不知那位大虾能给讲解一下。
lues 回复于:2005-02-16 09:25:06
引用:原帖由 "大雪飞扬" 发表:
lues,你用的是2.3.0吧,换成2.2应该就有了,我想2.3rc2应该也有
不过,我这边日志里也没有看到什么东西?
另外,也不知道snort到底是怎么用的,不知那位大虾能给讲解一下。
不好意思,回家过年了,没有上网
我cp /etc/snort/rules/snort.conf /etc就好了
不过我也不知道snort怎么用,还是需要大虾讲解一下
linuxsir_XP 回复于:2005-02-16 11:48:20
好想用,就是不懂55555555
看来我这个菜鸟只有用金山了
jwtiger 回复于:2005-02-24 12:53:26
理工先河的金海豚ids不错
大雪飞扬 回复于:2005-02-25 14:06:53
那位大拿能否简单讲讲snort到底是怎么用的!!!
jiyu2004 回复于:2005-02-26 08:08:18
试试
我爱臭豆腐 回复于:2005-03-06 22:04:42
http://www.snort.org/docs/snort_manual/
http://www.snort.org/docs/Snort_SSL_FC2.pdf
http://www.snort.org/docs/snort_base_suse92-ru.pdf
多看看这些就知道了.
uuhs_hiei 回复于:2005-03-11 12:59:51
豆腐,什么时候再弄个讲座啊,04年下半年就没讲座了,可惜
我爱臭豆腐 回复于:2005-03-11 18:15:26
引用:原帖由 "uuhs_hiei"]豆腐,什么时候再弄个讲座啊,04年下半年就没讲座了,可惜
发表:
大家有什么好的建议吗?比如大家喜欢听什么?
或者是自己有什么好东西想和大家分享.可以直接和fq联系.咱们可以搞.
我讲的东西基本上没有什么人喜欢听. :em10:
shaoping 回复于:2005-03-21 05:50:51
http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
how come i can't download the file from the link,http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz?
shaoping 回复于:2005-03-21 06:01:55
是不是现在要 $ 下了?
shaoping 回复于:2005-03-23 10:15:43
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/22-18:05:47.855276 10.34.155.104:22 ->; 10.34.155.101:1417
TCP TTL:64 TOS:0x10 ID:35573 IpLen:20 DgmLen:872 DF
***AP*** Seq: 0xA0B67E80 Ack: 0xF3BCA678 Win: 0x4950 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/22-18:05:48.055803 10.34.155.101:1417 ->; 10.34.155.104:22
TCP TTL:128 TOS:0x0 ID:10808 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xF3BCA678 Ack: 0xA0B681C0 Win: 0xFCBF TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
03/22-18:05:48.055850 10.34.155.104:22 ->; 10.34.155.101:1417
TCP TTL:64 TOS:0x10 ID:35574 IpLen:20 DgmLen:872 DF
***AP*** Seq: 0xA0B681C0 Ack: 0xF3BCA678 Win: 0x4950 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
===============================================================================
Snort received 21 packets
Analyzed: 21(100.000%)
Dropped: 0(0.000%)
===============================================================================
Breakdown by protocol:
TCP: 18 (85.714%)
UDP: 0 (0.000%)
ICMP: 0 (0.000%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 1 (4.762%)
DISCARD: 0 (0.000%)
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
Snort exiting
请问大家,有什么命令可以让我看得简明点吗? 这么多资料,怎 样看。会晕的....
supersuper 回复于:2005-03-24 09:19:38
snort非常棒
shaoping 回复于:2005-03-24 10:12:59
引用:原帖由 "supersuper"]snort非常棒
发表:
怎棒? 我安装了,但还是没有实战经验.能说说你的经验吗?
shaoping 回复于:2005-03-24 10:50:01
Snort sucessfully loaded all rules and checked all rule chains!
Final Flow Statistics
,----[ FLOWCACHE STATS ]----------
Memcap: 10485760 Overhead Bytes 16400 used(%0.156403)/blocks (16400/1) Overhead blocks: 1 Could Hold: (0)
IPV4 count: 0 frees: 0 low_time: 0, high_time: 0, diff: 0h:00:00s
finds: 0 reversed: 0(%0.000000)
find_sucess: 0 find_fail: 0 percent_success: (%0.000000) new_flows: 0
Snort exiting
这样算不算Snort 以在工作啦?
shaoping 回复于:2005-03-25 14:52:49
请指教!
yuyuyou 回复于:2005-04-02 20:41:31
引用:原帖由 "chd1998" 发表:
【原创】推荐大家使用一个入侵测系统+主动防火墙-->;Snort+Guardian
--------------------------------------------------------------------------------
Snort 是一个开源的轻量级入侵监测系统,可以..........
http://www.snort.org/dl/snort-2.3.0RC2.tar.gz
snort已经无法下载了,请问那为大侠把几个包提供下,鱼鱼感激不尽了!!!!
我的email:liuya_1112@163.com
谢谢!
liuchuang 回复于:2006-03-21 19:56:06
:P:p Proc:ProcessTable
谢了,上面是看:p是什么,呵呵
[ 本帖最后由 liuchuang 于 2006-3-21 19:58 编辑 ]
yukilee 回复于:2007-05-24 09:55:45
来学习一下
kelzz 回复于:2007-06-26 10:24:37
我用snort+acid做成了一个简单的ids,但是rules可能不好,免费版的,只能检测一些简单的入侵行为。
chinaddos 回复于:2007-06-26 16:03:31
China DDOS 硬防内核,免费使用
www.chinaDDOS.com
|
