IDS snort安装配置

CentOS6.6基于snort+barnyard2+base的入侵检测系统的搭建由于网上对于linux下搭建基于snort的入侵检测系统不是很详细，这里我写个文档给大家参考参考；本文档主要使用的软件已上传至百度云：/1qWui0c0 密码：y80f，其他软件可以根据文档中的命令在线下载安装；文档中的命令大多可以直接使用（除非时间太久导致系统/软件/链接失去支持等），顺利的话，可以在2小时内搭建完毕；如果安装报错，请检查步骤是正确，然后百度/google解决如果对文档有疑问请加QQ群1一、准备工作安装CentOS6.4系统（后面会升级到6.6，不知道直接安装6.6会不会有问题；用CentOS7后面配置base会报错），给系统设置IP和dns让系统可以联网1.安装wget#yum install wget -y2.更换源#mv /etc/ /etc/#wget -O /etc/ /Centos-6.repo#yum clean all#yum makecache3.更新系统#yum -y update(升级到了6.6)#yum install epel-release5.下载安装文件把网盘里的安装文件下载到CentOS里备用（可以利用附件中的FTPServer.exe传输），这里放到/root二、安装配置LMAP1.安装LMAP组件#yum install httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel2.安装php插件#yum install mcrypt libmcrypt libmcrypt-devel3.安装pear插件#yum install php-pear#pear upgrade pear#pear channel-update#pear install mail#pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman#pear install mail_mime4.安装phpmyadmin（不要随意更换版本，可能会出现不支持数据库的情况）#tar zxvf phpMyAdmin- -C /var/www/html#mv /var/www/html/phpMyAdmin- /var/www/html/phpmyadmin#tar zxvf -C /var/www/html#mv /var/www/html/adodb5 /var/www/html/adodb6.安装base#tar zxvf base- -C /var/www/html#mv /var/www/html/base-1.4.5 /var/www/html/base7.设置php.ini#vi /etc/php.inierror_reporting = E_ALL & ~E_NOTICE8.配置phpmyadmin#vi /var/www/html/phpmyadmin/libraries/$cfg['blowfish_secret'] = ''; 改成$cfg['blowfish_secret'] = '123456';(注：其中的’123456′为随意的字符)9.设置html目录权限#chown -R apache:apache /var/www/html10.设置adodb权限#chmod 755 /var/www/html/adodb11.配置mysql解压barnyard2（这里要用里面的文件创mysql表）#tar zxvf barnyard2-启动mysql#service mysqld start设置root密码为123456#mysqladmin -u root -p password 123456以root登陆mysql#mysql -uroot -p创建名为snort的数据库>create database snort;创建名为snort、密码为123456的数据库用户并赋予名为snort数据库权限>grant create,select,update,insert,delete on snort.* to snort@localhost identified by '123456';退出>exit创建数据库表#mysql -usnort -p -Dsnort < /root/barnyard2-1.9/schemas/create_mysql12.配置base#service mysqld start启动mysql#service httpd start启动apache#service iptables stop关闭防火墙用浏览器打开.234/base/setup/index.php（IP换成你自己的）1.点击Continuue2.选择显示语言，设置adodb路径3.配置数据库4.设置admin用户和密码（这里应该是设置admin的用户和密码，我这里跟mysql的root一样）5.点击“Createe BASE AG”6.成功的话会有红色successfilly created字样，如下图（Centos7没有，原因未知），点击“step 5”7.安装成功三、安装配置snort+barnyard21.安装依赖包#yum install gcc flex bison zlib libpcap tcpdump gcc-c++ pcre* zlib* libdnet libdnet-devel 2.安装libdnet（这里必须是这个版本）#tar zxvf libdnet-#cd libdnet-1.12#./configure && make && make install3.安装libpcap（这里必须）#wget /libpcap-#tar zxvf libpcap-#cd libpcap-1.0.0#./configure && make && make install4.安装DAQ#tar zxvf daq-#cd daq-2.0.4#./configure && make && make install5.安装snort#tar zxvf snort-#cd snort-#./configure && make && make install6.配置snort创建需要的文件和目录#mkdir /etc/snort#mkdir /var/log/snort#mkdir /usr/local/lib/snort_dynamicrules#mkdir /etc/snort/rules#touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules#cp /root/snort- threshold.conf classification.config reference.config unicode.map snort.conf /etc/snort/编辑配置文件#vi /etc/snort/snort.conf定义路径变量var RULE_PATH /etc/snort/rulesvar SO_RULE_PATH /etc/snort/so_rulesvar PREPROC_RULE_PATH /etc/snort/preproc_rulesvar WHITE_LIST_PATH /etc/snort/rulesvar BLACK_LIST_PATH /etc/snort/rules设置log目录config logdir：/var/log/snort配置输出插件output unified2：filename snort.log，limit 1287.配置规则#tar zxvf snortrules-snapshot- -C /etc/snort/#cp /etc/snort/etc/sid-msg.map /etc/snort/8.测试snort（如果最后出现success的字样说明配置好了）#snort -T -i eth0 -c /etc/snort/snort.conf9.安装barnyard2#cd /root/barnyard2-1.9#./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/#make && make install10.配置barnyard2创建需要的文件和目录#mkdir /var/log/barnyard2#touch /var/log/snort/barnyard2.waldo#cp /root/barnyard2-1.9/etc/barnyard2.conf /etc/snort编辑配置文件#vi /etc/snort/barnyard2.confconfig logdir:/var/log/barnyard2config hostname:localhostconfig interface:eth0config waldo_file:/var/log/snort/barnyard.waldooutput database: log, mysql, user=snort password=123456 dbname=snort host=localhost11.测试barnyard2#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo四、测试IDS是否正常工作1.编写测试规则#vi /etc/snort/rules/local.rulesalert icmp any any -> any any (msg: "IcmP Packet detected";sid:1000001;)（这是一条检查ping包的规则）2.启动IDS#service mysqld start#service httpd start#service iptables stop#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -D#snort -c /etc/snort/snort.conf -i eth0 –D3.测IDS向IDS的IP发送ping包，base的页面会出现红色ICMP告警。

在官网下载了最新版的windows平台下的snort安装包Snort_2.9.2.3_Installer.exe和规则文件库snort-2.9.2.3.tar.zip（也有需要付费的规制库），查阅了网上的资料终于把基本的安装和IDS模式配置完成了，写成学习笔记以便加强记忆。

------------------------------------------------------------1、由于我本机已经安装了WinPcap_4_1_2.exe，可满足当前Snort版本对WinPcap版本的要求，所以只下载了Snort。

首先安装Snort_2.9.2.3_Installer.exe，过程比较简单，由于只是自己测试，我没有进行过多的设置一路Next安装完毕，默认路径C:\Snort，最后弹出Snort has successfullly been installed.窗口，点击“确定”安装成功；之后同样步骤完成了WinPcap_4_1_2.exe的安装。

2、配置环境变量（我感觉我不配置也可以啊），如下图所示：3、运行cmd，输入“snort -？”可以查看snort相关命令行，如下图所示：4、导入规则文件库（需网站注册），解压下载下来的snort-2.9.2.3.tar.zip，得到四个文件夹：将文件夹下的文件复制到snort安装目录下对应的文件中，我安完snort安装目录下没有so_rules文件夹，就直接复制过去了。

5、然后启用ids模式，执行以下命令：snort -dev -l c:\snort\log -c c:\snort\etc\snort.conf这时遇到了很多问题，主要都是由于snort.conf配置文件的错误，找了一些资料及snort官网的论坛，终于解决了，可能有些解决的办法不一定是很好的，不管怎样终于可以运行起来了。

第一个错误：ERROR:c:\Snort\etc\snort.conf(39) Unknown rule type:ipvar解决办法：把snort.conf文件中的ipvar改为var（可能不是根本的解决办法）解决之后重复执行上图的运行命令，会弹出第二个错误，以下依次类推。

实验7 基于snort的IDS配置实验1．实验目的通过配置和使用Snort，了解入侵检测的基本概念和方法，掌握入侵检测工具的使用方法，能够对其进行配置。

2．实验原理2.1 入侵检测基本概念入侵检测系统（Intrusion Detection System简称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和是否存在入侵的迹象，进而达到提示入侵、预防攻击的目的。

入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统维护人员的安全管理能力，例如安全审计、监视、攻击识别和响应的能力。

通过利用入侵检测系统，可以有效地防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。

1．入侵检测系统分类根据采集数据源的不同，IDS可分为基于网络的入侵检测系统（Network-based IDS，简称NIDS）和基于主机的入侵检测系统（Host-based IDS，简称HIDS）。

NIDS使用监听的方式，在网络通信的原始数据包中寻找符合网络入侵模版的数据包。

NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机器之外，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。

NIDS一般保护的是整个网段。

HIDS安装在被保护的机器上，在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。

由于HIDS 安装在需要保护的主机系统上，这将影响应用系统的运行效率。

HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般保护的是其所在的系统。

NIDS和HIDS各有优缺点，联合使用这两种方式可以实现更好的检测效果。

2．入侵检测系统的实现技术入侵检测系统的实现技术可以简单的分为两大类：基于特征的检测（Signature-based）和基于异常的检测（Anomaly-based）。

windows下Snort的配置与使用实验1：Snort的配置与使用1实验目的和要求学习Snort的配置与使用，要求：1）掌握Snort入侵检测环境的搭建；2）掌握Snort的配置与使用；3）熟悉Snort的工作原理。

2实验设备及材料1）系统环境：Windows XP/Windows 20032）软件安装：JDK：jdk-6u17-windows-i586.exe（可选）TOMCAT：apache-tomcat-5.5.30.exe（可选）MySQL：mysql-5.5.15-win32.msiWinPcap：WinPcap_4_1_2.exeSnort：Snort_2_9_1_Installer.exeIDSCenter：idscenter109b21.zip3实验内容3.1软件安装与配置3.1.1 JDK安装与配置软件版本：jdk-6u17-windows-i586.exe双击jdk-6u17-windows-i586.exe安装JDK，安装完后设置环境变量：变量名变量值java_home C:\Program Files\Java\jdk1.6.0_17classpath C:\Program Files\Java\jdk1.6.0_17\jre\libpath C:\Program Files\Java\jdk1.6.0_17\binjava –version // 查看软件版本信息，确定软件是否安装成功3.1.2 Tomcat安装与配置软件版本：apache-tomcat-5.5.30.exe、apache-tomcat-5.5.30-admin.zip 1）安装apache-tomcat-5.5.30.exe安装过程中会要求指定JRE的安装目录，确定端口，用户名和密码（用于可视化配置界面登录）。

启动Tomcat：验证安装是否成功：http://localhost:8088/http://127.0.0.1:8088/2）安装pache-tomcat-5.5.30-admin.zip首先解压apache-tomcat-5.5.30-admin.zip，用解压后的文件替换以下tomcat 文件。

在windows环境下snort的安装配置1.安装apache (2)2：安装PHP5： (4)3）安装winpcap (7)4）安装snort (7)5）安装和设置mysql (8)5）安装adodb: (14)6）安装jpgrapg 库 (15)7）安装acid (15)8）建立acid 运行必须的数据库： (16)9）解压snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下 (16)10）启动snort (17)11）测试snort (17)Snort 是一套非常优秀的IDS和网络监测系统，值得大中型网络管理者和网络安全爱好人员去学习使用．安装平台: Windows Server 2003 + My SQL + Apache + PHP5需要软件包:(以下软件包都可以从ftp上直接下载获取)1）Snort_2_6_1_1_Installer.exe Windows 版本的Snort 安装包2）snortrules-snapshot-CURRENT.tar.gz snort规则库3）winpcap3.1 网络数据包截取驱动程序（4.0Beta 2 版也可）4）acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台5）mysql-5.0.27-win32.zip Windows 版本的mysql安装包6）apache.zip Windows 版本的vapache 安装包7）jpgraph-2.1.4.tar.gz 图形库for PHP8）adodb465.zip ADOdb（Active Data Objects Data Base）库for PHP 9）php-5.2.0-Win32.zip Windows 版本的php 脚本环境支持入侵检测系统的安装说明：（注：软件包较多。

需要细心，和耐心。

现在就开始我们的snort配置之旅吧，痛苦着并快乐着。

Linux防入侵---snort的安装与配置作者：计世网特约撰稿余俊松 2006-07-10 14:18:45入侵检测系统（IDS）是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理系统，它像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、检测，从计算机网络的若干关键点收集信息，通过分析这些信息，查看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。

一般来说，IDS是作为防火墙的补充，所以IDS一般处于防火墙之后，可以对网络活动进行实时检测，并根据情况记录和禁止网络活动。

入侵检测系统IDS根据工作的重点不同，可分为基于主机的入侵检测系统和基于网络的入侵检测系统。

入侵检测系统构成一般分为，两个部分一个部分是检测的部分（Sensor），一部分是处理报警结果的控制台。

不同的入侵检测的构成也不太一样大致都具有控制台和Sensor两个基本部分，基于主机的入侵检测多半在主机上安装一个代理程序来收集系统信息向Sensor汇报。

入侵检测系统的检测信息来源都是通过自身的检测部分Sensor 得到的。

基于网络的入侵检测，主要是通过对网络数据包的截取分析，来查找具有攻击特性和不良企图的数据包的。

在网络里基于网络的入侵检测系统的检测部分Sensor 一般被布置在一个交换机的镜象端口（或者一个普通的HUB任意端口），听取流经网络的所有数据包，查找匹配的包，来得到入侵的信息源。

基于主机的入侵检测系统的Sensor 不可能直接从系统内部获取信息的，它是要通过一个事先做好的代理程序，安装在需要检测的主机里的，这些代理程序主要收集系统和网络日志文件，目录和文件中的不期望的改变，程序执行中的不期望行为，物理形式的入侵信息。

基于网络的入侵检测系统的检测端Sensor一般被布置在网络的核心交换机，或者部门交换的交换机的镜象端口（采取把Sensor 放在核心交换机器的镜像端口还是部门交换机的镜像端口，主要由网络的流量和客户机的数量，以及入侵检测的处理能力和网络发生攻击的频繁程度来定的）在网管的机器上，安装上入侵检测系统的控制台，做报警处理，在重要的服务器或者有必要的客户端安装代理程序收集系统和网络日志等系统信息，寻找具有攻击特性的数据包。

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。

⽹络⼊侵检测系统（IDS）的安装部署安装snort⼊侵检测系统1、登录ids系统登录实验机后，打开桌⾯上的putty程序，输⼊10.1.1.106，再点击Open.。

输⼊⽤户名：root，密码：bjhit2、安装LAMP环境（省略）在putty⾥⾯输⼊如下命令进⾏安装apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb注意：因为下载时间太长，会耽误过多的时间，所以提前已经安装好了。

这⾥给mysql的root⽤户，设置的密码是123456。

3、安装snort软件包(已安装)#apt-get install snort-mysql在安装过程中会提⽰下图所⽰信息。

（这⾥是填写监听的⽹段）4、创建snortdb数据库登录mysql mysql -u root -p123456进⼊数据库后，创建⼀个数据库命名为snortdb。

create database snortdb;grant create, insert, select, update on snortdb.* to snort@localhost;set password for snort@localhost=password('snortpassword');创建⼀个数据库⽤户，⽤户名为snort，密码为snortpassword。

将snort-mysql⾃带的软件包中附带的sql⽂件，导⼊到数据库中。

cd /usr/share/doc/snort-mysql/zcat create_mysql.gz | mysql snortdb -u snort -psnortpasswordrm /etc/snort/db-pending-config5、配置snort配置好了数据库后，需要配置Snort配置⽂件（/etc/snort/snort.conf），告诉snort以后⽇志写⼊到snortdb数据库中。