在CentOS/Ubuntu/Debian上设置和配置Snort以扩展入侵检测和DDoS保护。

Snort是一个免费、开源、轻量级的网络入侵检测系统(NIDS)，适用于Linux和Windows专用服务器。Snort执行协议分析、内容搜索和匹配。这些基本服务有许多用途，包括应用程序感知触发的服务质量，在使用延迟敏感的应用程序时降低批量流量的优先级。

该程序还可用于检测探测或?攻击，包括但不限于操作系统指纹尝试、通用网关接口、缓冲区溢出、服务器消息块探测和隐形端口扫描。

本文将概述如何在您的CentOS专用服务器上安装和配置Snort。您可以修改这些说明以相应地在其他发行版上安装Snort。在本文的我们将引导您完成一些基本的Snort命令以帮助您入门。

yuminstall-ywgetgccflexbisonzlibzlib-devellibpcaplibpcap-develpcrepcre-develtcpdumpmysqlmysql-servermysql-develgitlibtoolcurlmanlibdnetlibdnet-devel

wgethttp://packages.sw.be/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.`uname-m`.rpm

rpm-Uhvrpmforge-release-0.5.3-1.el6.rf.`uname-m`.rpm

百胜安装centos-release-scl

rpm-Uvhhttps://forensics.cert.org/cert-forensics-tools-release-el6.rpm

在Snort.org上创建一个帐户并将规则下载到您的专用服务器。

将规则提取到snort配置文件夹：

tar-xvfcommunity-rules.tar-C/etc/snort/rules

tar-xvfsnortrules-snapshot-2962.tar.gz-C/etc/snort/rules

tar-xvfsnortrules-snapshot-2975.tar.gz-C/etc/snort/rules

tar-xvfsnortrules-snapshot-2976.tar.gz-C/etc/snort/rules

tar-xvfsnortrules-snapshot-2980.tar.gz-C/etc/snort/rules

触摸/etc/snort/rules/rules/white_list.rules

触摸/etc/snort/rules/rules/black_list.rules

mkdir/usr/local/lib/snort_dynamicrules

因为/etc/snort/rules/etc/snort.conf

ipvarHOME_NETYOUR_NETWORK_HERE

ipvarEXTERNAL_NET!$HOME_NET

snort-T-ieth0-usnort-gsnort-c/etc/snort/rules/etc/snort.conf

CONF=/etc/snort/rules/etc/snort.conf

Pulledpork是一种与Snort结合使用的工具，可自动下载最新规则并使您的Windows专用服务器与Snort保持最新。

yum-yinstallperl-libwww-perlperl-Crypt-SSLeayperl-Archive-Tar

wgethttps://pulledpork.googlecode.com/files/pulledpork-0.7.0.tar.gz

tar-zxfpullpork-0.7.0.tar.gz

cppullpork.pl/usr/sbin;?chmod755/usr/sbin/pulledpork.pl

访问snort.org并注册一个帐户以获取您的oinkcode。

rule_url=?https://www.snort.org/reg-rules/|snortrules-snapshot.tar.gz|d30f456401a96924b902ea384d358fcf2290315e

rule_url=?https://www.snort.org/reg-rules/|opensource.gz|d30f456401a96924b902ea384d358fcf2290315e

rule_path?=?/?etc?/snort/rules/rules/snort.rules

out_path?=/?etc?/snort/rules/rules

local_rules?=?/?etc?/snort/rules/rules/local.rules

sid_msg?=/?etc?/snort/?sid-msg.map

config_path?=/?etc?/snort/rules/?etc?/?snort.conf

snort_control?=/?usr?/bin/?snort_control

IPRVersion?=/?etc?/snort/rules/rules/?iplists

pullpork.pl–?vv?-c/?etc?/snort/pullpork.conf?-T?-l

将pullpork添加到crontab以每天运行：

0104***/usr/sbin/pulledpork.pl-c?/?etc?/snort/pulledpork.conf?-l

Snort可以配置为三种主要模式：嗅探器、数据包记录器和网络入侵检测。在嗅探器模式下，程序将读取网络数据包并显示在控制台上。在数据包记录器模式下，程序会将数据包记录到磁盘。在入侵检测模式下，程序将监控网络流量并根据用户定义的规则集对其进行分析。然后程序将根据已识别的内容执行特定操作。

Snort相当容易使用，但有很多命令，而且并不总是清楚哪些选项可以很好地协同工作。以下是一些帮助您入门的示例。

将TCP/IP数据包头打印到屏幕上：

https://www.mfisp.com/打鼾-v

显示传输中的应用程序数据：

https://www.mfisp.com/打鼾-?vd

https://www.mfisp.com/打鼾-?vde

通过指定日志位置，Snort将进入数据包记录器模式：

https://www.mfisp.com/?snort-dev-lhttps://www.mfisp.com/log

为了相对于家庭网络进行日志记录，您需要告诉Snort哪个网络是家庭网络：

https://www.mfisp.com/?snort-dev-lhttps://www.mfisp.com/log-h192.168.1.0/24

对于高速和流量网络，建议以二进制模式登录：

https://www.mfisp.com/snort?-lhttps://www.mfisp.com/log–b

如果您想通过Snort以嗅探器模式运行二进制日志文件以将数据包转储到屏幕：

https://www.mfisp.com/?snort-dv-rpacket.log

要启用网络入侵检测(NIDS)模式并查看其工作方式：

https://www.mfisp.com/?snort-dev-lhttps://www.mfisp.com/log-h192.168.1.0/24-c?snort规则.conf

对于长期使用Snort，请删除v和e标志以加快操作：

https://www.mfisp.com/snort-d-h192.168.1.0/24-lhttps://www.mfisp.com/log-csnort.conf

这些是基本命令。Snort.org提供了所有可用命令及其用法的详尽汇编。