云里雾里的专栏

1 环境：ubuntu10.10 + virtualbox4 + bridge + snort 2.8.5[dpkg -s snort 查看版本】 2 Bouhunter本来是Gu搞的，现在属于：SRI International /  www.bothunter.net 3 我参考的用户版本是1.6的 应该是最新的了 4 类型定义为：A Network-based Infection Diagnosis System，看来已不仅仅是botnet检测了5  team小组成员：Philli

为了看懂rules，可以看下文，想要写好，就没那么简单了。^-^。******************************************************************************************************************************************I 总体结构分析：alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "moun

<br />[come from: http://www.cnblogs.com/davidlili/archive/2006/08/29/489918.html]<br />IP TCP UDP 结构IP Header Format  :  RFC 791 <br /><br />The IP header structure is as follows:<br /> 481632 bitsVer.IHLType of serviceTotal lengthIdentificationFlagsFragm

1 方法：首先获得应用对应路径或者默认值（这个值是要填写到配置编辑器中的），其中系统本身的应用，如shell对应的是：gnome-terminal. 但是我们自己安装的应用，这一值我们是如何获得的呢？？ 首先alt+F2打开运行对话框，然后试探性输入应用程序的名字，如输入chro就会显示出chrome来，但是如果你单单在配置编辑器中输入这个chro那还是不行的，必须要全路径的值，how to get it? 只需要如果所示，点击下面显示出来的chrome图标，上面的编辑框就会自动显示这个全路径（值），这里为

“Not using PCAP_FRAMES”, A.k.a When good verbosity goes bad在启动snort的时候，会提示：Not using PCAP_FRAMES上网查了一些资料，其中最经典的是下面的一个帖子，来自http://leonward.wordpress.com/2008/07/18/not-using-pcap_frames-aka-when-good-verbosity-goes-bad/中文也有翻译过来的，我就不解释了，直接cp过来：中文的：**********

Snort操作：1配置文件位置：/etc/snort2运行：./usr/sbin/snort需要root权限3开机自启动关闭：http://blog.youkuaiyun.com/jo_say/archive/2011/03/08/6232952.aspx如snort的2，3，4，5级默认开启，通过chkconfig–-level2345snortoff.就可将其关闭。（chkconfig操作见：http://blog.youkuaiyun.com/jo_say/archive/2011/04/18

<br /><br /><br />Ubuntu软件包格式为deb，安装方法如下：<br />    sudo  dpkg  -i  package.deb<br />dpkg的详细使用方法，网上有很多，下面简单列了几个：dpkg -i package.deb安装包dpkg -r package删除包dpkg -P package删除包（包括配置文件）dpkg -L package列出与该包关联的文件dpkg -l package显示该包的版本dpkg –unpack package.deb解开 deb 包

snort.conf分析此文件包含一个snort配置样例。共分五步骤：1 设置你的网络变量2 配置动态加载库3 配置预处理器4 配置输出插件5 增加任意的运行时配置向导6 自定义规则集step1：设置你的网络变量1 其中针对本地网络给出3种方式：a) 清晰指定你的本地网络var HOME_NET 172.26.75.0/24(如果希望构建的Snort支持IPV6支持，则这里定义网段的类型就应该改为pvar)b) 使用全局变量 var HOME_NET $eth0_ADDRESSc) 也可一定义一个地址列表，

在安装snort的过程中遇到了一点困难，但还是完成。下午将依据一篇http://blog.solrex.org/articles/implement-snort-ids-on-ubuntu-710.html的一篇博文，提出自己安装过程出现的问题和解决办法。由于以上博文是在ubuntu7.10环境中进行，本文在10.10中进行。1 第一点区别：我之前已经安装过LAMP和pcap、phpMyAdmin（用php编写的可以用来管理mysql的web工具）。2 安装Snort：准备工作：通过ubuntu的apt-g

<br /><br />来自：http://blog.163.com/guotao_163/blog/static/23682822010111001322409/<br /> <br />1、honeyd 的技术背景<br />honeyd 是由 google 的软件工程师 Niels Provos 在 2003 年推出的一个 GPL 开源软件。它本身以 daemon 的方式，运行在 linux 操作系统上，可用来虚拟出大量的虚拟"主机"，每台虚拟"主机"又可以被配置成安装了 Windows 或类 UNI

None

先说一下虚拟环境：Host是Windows XP，Guest是Fedora Linux，虚拟机是VirtualBox2.06。用过VB都知道，默认网络配置下（NAT），Guest是对Host不可见的，对局域网以及以外都是不可见（指网络上的不可访问）。我希望通过配置，能从Host以及外部网络访问Guest提供的服务，比如ssh。    VB中Guest的网络模式主要有NAT和Bridge（桥接）两种。桥接是可以很好的实现我的想法的，但是一般来说VB下的桥接很难做：我按照手册上的方法做好，桥接建立好了当时导致H