GGGYL111的博客

文章目录Snort的使用配置文件Snort的使用snort.conf文件必须熟悉（系统的中枢），最好打印下来进行标记和解释，非常好的资料snort_manual用户手册建议详细研究一下配置文件变量定义配置参数配置动态加载库（dll）预处理器配置输出模块配置定义新的动作类型规则配置和引用文件1 变量定义变量的语法：定义普通变量：var<变量名><变量值>定义端口变量：portvar<变量名><变量值>var HOME_NE

Snort的集成式安装前面说了，有两种安装方式，集成式的和分布式的。集成式的性能不如分布式的好，但是简单（并不简单）方便。虽然是集成式的，但是该有的还是要有，只不过找了一些替代品而已，安装Snort IDS需要的一些软件：安装Snort所需软件前面提到的三层体系结构，传感器层，服务器层，管理员控制台；都必须集成在一台电脑上。传感器层软件：snortLibpcap / WinpcapMySQLBarnyard（输出插件）服务器层软件：Apache Web服务器（可视化的PHP网页引

Step1：cd /etc/config/system把这里改成要切换的平台IP地址就行了Step2:/etc/init.d/log restart

文章目录snort部署IDS的三层体系结构snort部署两种策略：仅作为包嗅探器（Sniffer）作为完整的IDS系统（Q：我们是作为一个完整的IDS部署snort还是只把它当作一个嗅探器？）在选择操作系统上，要注意：安全性稳定性协同工作的外部应用程序IDS的三层体系结构IDS = 传感器 + 服务器 + 管理员控制台第一层：监控所经过的流量，抓包传给第二层第二层：数据传到中心数据库，运行web服务器，用户可分析查看数据第三层：管理员控制台，分布式安装的示意图：双

文章目录IDS基本概念Snort基础IDS基本概念IDS内部结构：事件产生器（传感器/嗅探器）；事件分析器（核心）；响应单元；事件数据库；IDS检测技术两大类：1. 基于特征（规则） 2. 基于异常特征检测和异常检测的区别：特征检测的准确度高，但是容易产生漏报的情况，因为它只去匹配特征库里的攻击，对于未知的攻击，基本上是无能为力；异常检测的准确率会低一些，因为容易产生误报的情况，把一些不是入侵的也当做入侵处理了，但是它能够识别一些未知的入侵（虽然可能误报，但是宁可错杀也不愿漏杀是吧）。这两种可以理

文章目录1.5 读取pcap文件1.5.1 命令行参数1.5.2 Example1.6 基本输出1.6.1 Timing statistics 时间统计1.6.2 Packet I/O Totals 总的流入流出包1.6.3 Protocol Statistics 协议数据包1.5 读取pcap文件可以让Snort捕获数据包之后去分析，对测试和调试snort很有帮助1.5.1 命令行参数可以一次或者多次指定以下命令，--pcap-reset and --pcap-show用一次和多次的效果是一样的

Snort用户手册1 OverViewSnort有三种模式Sniffer mode （从网络上读取数据包并显示）Packet Logger mode （将数据包记录到磁盘）NIDS mode（对网络流量进行检测和分析，最复杂且可配置的模式）简单介绍一下三种模式：1.1 Sniffer Mode使用以下代码snort -v...