Snort 是一个著名的开源网络入侵检测和预防系统(IDS)。 Snort 对于监控通过网络接口发送和接收的包非常有用。 您可以指定网络接口来监控流量。 Snort 在基于签名的检测的基础上工作。 Snort 使用不同类型的规则集来检测网络入侵,例如社区。 注册和订阅规则。 正确安装和配置 Snort 在检测不同类型的攻击和威胁方面非常有用,例如 SMB 探测、恶意软件感染、受损系统等。在本文中,我们将学习怎样在 Ubuntu 20.04 系统上安装和配置 Snort。
打鼾规则
Snort 使用规则集来检测网络入侵,如下所示。 提供三种类型的规则集:
社区规则
这些是 snort 用户社区创建的规则,免费提供。
注册规则
这些是 Talos 提供的规则,仅适用于注册用户。 注册只需片刻,而且免费。 注册后会得到一个code,发送下载请求时需要提交
订阅规则
这些规则也与注册规则相同,但在发布前提供给注册用户。 这些规则集是付费的,成本计算基于个人用户或企业用户。
打鼾安装
在 Linux 系统中安装 snort 将是一个手动且漫长的过程。 现在安装非常简单和容易,因为大多数 Linux 发行版都在存储库中提供了 Snort 包。 该软件包可以从源代码以及软件存储库安装。
在安装过程中,系统会要求您提供有关网络接口的一些详细信息。 运行以下命令,并记下详细信息以备将来使用。
$ ip a
要在 Ubuntu 中安装 Snort 工具,请使用以下命令。
$ sudo apt install snort
在上述 example, ens33 是网络接口的名称,并且 192.168.218.128 是IP地址。 这 /24 显示该网络的子网掩码为 255.255.255.0 。 请注意这些事项,因为我们需要在安装期间提供这些详细信息。
现在,按 Tab 导航到确定选项,然后按 Enter。
现在提供网络接口的名称,使用 tab 键导航到 ok 选项,然后按 enter。
提供带有子网掩码的网络地址。 使用 tab 键导航到 ok 选项,然后按 enter。
安装完成后,运行验证下方的命令。
$ snort --version
配置 snort
在使用 Snort 之前,需要在配置文件中做一些事情。 Snort 将配置文件存放在目录下 /etc/snort/ 作为文件名 snort.conf.
使用任何文本编辑器编辑配置文件并进行以下更改。
$ sudo vi /etc/snort/snort.conf
找到线 ipvar HOME_NET 任何 在配置文件中,并将任何替换为您的网络地址。
在上述 example一个网络地址 192.168.218.0 带子网掩码 前缀 24 用来。 将其替换为您的网络地址并提供前缀。
Save 文件并退出
下载和更新 Snort 规则
Snort 使用规则集进行入侵检测。 我们之前在文章开头已经描述了三种类型的规则集。 在本文中,我们将下载和更新社区规则。
要安装和更新规则,请为规则创建一个目录。
$ mkdir /usr/local/etc/rules
使用以下命令下载社区规则。
$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
或者,您可以浏览下面的链接并下载规则。
https://www.snort.org/downloads/#snort-3.0
在之前创建的目录中提取下载的文件。
$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
启用混杂模式
我们需要让 Snot 计算机的网络接口监听所有流量。 为此,请启用混杂模式。 使用接口名称运行以下命令。
$ sudo ip link set ens33 promisc on
其中 ens33 是接口名称
跑步打鼾
现在我们可以开始 Snort。 请遵循以下语法并相应地替换参数。
$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
在哪里,
-d 用于过滤应用层数据包
-l 用于设置日志目录
-h 用于指定家庭网络
-A 用于将警报发送到控制台窗口
-c 用于指定 snort 配置
启动 Snort 后,您将在终端中获得以下输出。
您可以检查日志文件以获取有关入侵检测的信息。
Snort 基于规则集工作。 因此,始终保持规则集是最新的。 您可以设置一个 cronjob 来下载规则并定期更新它们。
结论
在本教程中,我们学习了怎样在 Linux 中使用 snort 作为网络入侵防御系统。 此外,我还介绍了怎样在 Ubuntu 系统上安装和使用 snort,并使用它来监控实时流量和进行威胁检测。
Snort – Ubuntu 的网络入侵检测系统
