Snort – Ubuntu 的网络入侵检测系统

Snort 是一个著名的开源网络入侵检测和预防系统(IDS)。 Snort 对于监控通过网络接口发送和接收的包非常有用。 您可以指定网络接口来监控流量。 Snort 在基于签名的检测的基础上工作。 Snort 使用不同类型的规则集来检测网络入侵,例如社区。 注册和订阅规则。 正确安装和配置 Snort 在检测不同类型的攻击和威胁方面非常有用,例如 SMB 探测、恶意软件感染、受损系统等。在本文中,我们将学习怎样在 Ubuntu 20.04 系统上安装和配置 Snort。

打鼾规则

Snort 使用规则集来检测网络入侵,如下所示。 提供三种类型的规则集:

社区规则

这些是 snort 用户社区创建的规则,免费提供。

注册规则

这些是 Talos 提供的规则,仅适用于注册用户。 注册只需片刻,而且免费。 注册后会得到一个code,发送下载请求时需要提交

订阅规则

这些规则也与注册规则相同,但在发布前提供给注册用户。 这些规则集是付费的,成本计算基于个人用户或企业用户。

打鼾安装

在 Linux 系统中安装 snort 将是一个手动且漫长的过程。 现在安装非常简单和容易,因为大多数 Linux 发行版都在存储库中提供了 Snort 包。 该软件包可以从源代码以及软件存储库安装。

在安装过程中,系统会要求您提供有关网络接口的一些详细信息。 运行以下命令,并记下详细信息以备将来使用。

$ ip a

要在 Ubuntu 中安装 Snort 工具,请使用以下命令。

$ sudo apt install snort

在上述 example, ens33 是网络接口的名称,并且 192.168.218.128 是IP地址。 这 /24 显示该网络的子网掩码为 255.255.255.0 。 请注意这些事项,因为我们需要在安装期间提供这些详细信息。

现在,按 Tab 导航到确定选项,然后按 Enter。

现在提供网络接口的名称,使用 tab 键导航到 ok 选项,然后按 enter。

提供带有子网掩码的网络地址。 使用 tab 键导航到 ok 选项,然后按 enter。

本地网络IP地址范围

安装完成后,运行验证下方的命令。

$ snort --version

检查 Snort 版本

配置 snort

在使用 Snort 之前,需要在配置文件中做一些事情。 Snort 将配置文件存放在目录下 /etc/snort/ 作为文件名 snort.conf.

使用任何文本编辑器编辑配置文件并进行以下更改。

$ sudo vi /etc/snort/snort.conf

找到线 ipvar HOME_NET 任何 在配置文件中,并将任何替换为您的网络地址。

配置 Snort

在上述 example一个网络地址 192.168.218.0 带子网掩码 前缀 24 用来。 将其替换为您的网络地址并提供前缀。

Save 文件并退出

下载和更新 Snort 规则

Snort 使用规则集进行入侵检测。 我们之前在文章开头已经描述了三种类型的规则集。 在本文中,我们将下载和更新社区规则。

要安装和更新规则,请为规则创建一个目录。

$ mkdir /usr/local/etc/rules

使用以下命令下载社区规则。

$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

或者,您可以浏览下面的链接并下载规则。

https://www.snort.org/downloads/#snort-3.0

在之前创建的目录中提取下载的文件。

$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/

启用混杂模式

我们需要让 Snot 计算机的网络接口监听所有流量。 为此,请启用混杂模式。 使用接口名称运行以下命令。

$ sudo ip link set ens33 promisc on

其中 ens33 是接口名称

将网络接口设置为 promisc 模式

跑步打鼾

现在我们可以开始 Snort。 请遵循以下语法并相应地替换参数。

$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf

在哪里,

-d 用于过滤应用层数据包

-l 用于设置日志目录

-h 用于指定家庭网络

-A 用于将警报发送到控制台窗口

-c 用于指定 snort 配置

启动 Snort 后,您将在终端中获得以下输出。

在 Ubuntu 上使用 Snort

您可以检查日志文件以获取有关入侵检测的信息。

Snort 基于规则集工作。 因此,始终保持规则集是最新的。 您可以设置一个 cronjob 来下载规则并定期更新它们。

结论

在本教程中,我们学习了怎样在 Linux 中使用 snort 作为网络入侵防御系统。 此外,我还介绍了怎样在 Ubuntu 系统上安装和使用 snort,并使用它来监控实时流量和进行威胁检测。

Snort – Ubuntu 的网络入侵检测系统