snort+base搭建IDS入侵检测系统

最新推荐文章于 2025-05-07 17:23:30 发布
最新推荐文章于 2025-05-07 17:23:30 发布
阅读量2.9k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: php 数据库 操作系统
原文链接:https://yq.aliyun.com/articles/426004
本文详细介绍了如何使用Snort和BASE在Linux环境下搭建入侵检测系统(IDS)。Snort作为嗅探器、数据包记录器和网络入侵检测系统,支持多种工作模式。而BASE是一个基于PHP的Snort分析查询系统。文章中提到了Snort的安装过程,包括依赖库的安装,以及遇到的问题和解决方法。此外,还提到了配置Snort将日志输出到MySQL数据库,以便于通过BASE进行查询和分析。最后,通过nmap扫描展示了IDS的实际检测效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件

Snort有 三种工作模式:嗅探器、数据包记录器、网络入侵检测系统模式。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数 据包记录到硬盘上。网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。网络入侵检测系统模式是最复杂的,而且是可 配置的。

Snort可以用来监测各种数据包如端口扫描等之外,还提供了以XML形式或数据库形式记录日志的各种插件。

Snort作为常见的支持分布式的网络入侵检测系统(NIDS),能够进行实时网络流量分析并记录各类攻击行为和相关网络数据包。BASE(Basic Analysis and Security Engine)是基于PHP的广泛使用的一种高效Snort分析查询系统。虽然这两者配合安装配置有些复杂,但是因为其比较灵活,扩展性好,只要配置使用得当,也适合用来构建校园网入侵检测平台。

Snort 支持多种操作系统(Windows/Linux/Solaris等),源代码和安装包可以从 http://www.snort.org获取,由于Snort版本一直都在持续更新,以下介绍以 2.8.5 版本为例。综合性能和功能考虑,不建议在Windows下安装Snort。可以选择的Linux发行版本,推荐CentOS、Fedora、Redhat。虽然Snort都有 rpm 包提供,安装比较方便,不过从源代码编译会更加灵活和便于进行优化。

Snort的一些功能:
- 实时通讯分析和信息包记录
- 包装有效载荷检查
- 协议分析和内容查询匹配
- 探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试
- 对系统日志、指定文件、Unix socket或通过Samba的WinPopus 进行实时警
Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发/自由软件最重要的惯例,Snort支持各种形式的插件、扩充和定制,包括数据库或是XML记录、小帧探测和统计的异常探测等。
信息包有效载荷探测是Snort最有用的一个特点,这就意味着很多额外种类的敌对行为可以被探测到。 
 

下载地址:
1.在http://www.snort.org/ 注册就可以下载到 snortrules-snapshot

2.在 http://www.bleedingthreats.net/cgi-bin/viewcvs.cgi/rules/ 可以下载到一个第三方的 rules 文件 rules.tar.gz,这个系列更新也比较频繁,snortrules-snapshot-2.8.tar.gz 是在51cto上下载的。

3.BASE 可以从http://sourceforge.net/projects/secureideas/ 获取版本或者用软件SnortCenter是一个基于Web的snort探针和规则管理系统,用于远程修改snort探针的配置,起动、停止探针,编辑、分发snort特征码规则。http://users.telenet.be/larc/download/

4.Adodb 可以从 http://sourceforge.net/projects/adodb/ 下载.ADODB 是 Active Data Objects Data Base 的简称,它是一种 PHP 存取数据库的中间函式组件


5.[root@localhost centos6]# rpm -ivh snort-2.8.5.1-1.fc13.i686.rpm //安装snort包出现依赖关系
warning: snort-2.8.5.1-1.fc13.i686.rpm: Header V3 RSA/SHA256 Signature, key ID e8e40fde: NOKEY
error: Failed dependencies:
        libgnutls.so.26 is needed by snort-2.8.5.1-1.fc13.i686
        libpcap >= 0.4 is needed by snort-2.8.5.1-1.fc13.i686
        libpcap.so.1 is needed by snort-2.8.5.1-1.fc13.i686
        libprelude.so.2 is needed by snort-2.8.5.1-1.fc13.i686


[root@localhost centos6]# rpm -q libpcap//查询libpcap没装
package libpcap is not installed


[root@localhost centos6]# yum -y install libpcap//安装libpcap包

[root@localhost centos6]# rpm -ivh snort-2.8.5.1-1.fc13.i686.rpm//在次安装snort出现两个依赖
warning: snort-2.8.5.1-1.fc13.i686.rpm: Header V3 RSA/SHA256 Signature, key ID e8e40fde: NOKEY
error: Failed dependencies:
        libgnutls.so.26 is needed by snort-2.8.5.1-1.fc13.i686
        libprelude.so.2 is needed by snort-2.8.5.1-1.fc13.i686

[root@localhost centos6]# yum -y install libgnutls26//安装libgnutls26包
Loaded plugins: fastestmirror
Determining fastest mirrors
 * base: centos.ustc.edu.cn
 * extras: centos.ustc.edu.cn
 * updates: centos.ustc.edu.cn
Setting up Install Process
No package libgnutls26 available.
Error: Nothing to do


[root@localhost centos6]# yum -y install gnutls//安装gnutls包
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.ustc.edu.cn
 * extras: centos.ustc.edu.cn
 * updates: centos.ustc.edu.cn
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package gnutls.i686 0:2.8.5-4.el6_2.2 set to be updated
--> Processing Dependency: libtasn1.so.3(LIBTASN1_0_3) for package: gnutls-2.8.5-4.el6_2.2.i686
--> Processing Dependency: libtasn1.so.3 for package: gnutls-2.8.5-4.el6_2.2.i686
--> Running transaction check
---> Package libtasn1.i686 0:2.3-3.el6_2.1 set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package           Arch          Version                    Repository     Size
================================================================================
Installing:
 gnutls            i686          2.8.5-4.el6_2.2            base          336 k
Installing for dependencies:
 libtasn1          i686          2.3-3.el6_2.1              base          239 k

Transaction Summary
================================================================================
Install       2 Package(s)
Upgrade       0 Package(s)

Total download size: 575 k
Installed size: 1.4 M
Downloading Packages:
(1/2): gnutls-2.8.5-4.el6_2.2.i686.rpm                   | 336 kB     00:00     
(2/2): libtasn1-2.3-3.el6_2.1.i686.rpm                   | 239 kB     00:00     
--------------------------------------------------------------------------------
Total                                           1.7 MB/s | 575 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Warning: RPMDB altered outside of yum.
  Installing     : libtasn1-2.3-3.el6_2.1.i686                              1/2 
  Installing     : gnutls-2.8.5-4.el6_2.2.i686                              2/2

Installed:
  gnutls.i686 0:2.8.5-4.el6_2.2                                                

Dependency Installed:
  libtasn1.i686 0:2.3-3.el6_2.1                                                

Complete!//完成安装。

[

最低0.47元/天 解锁文章

200万优质内容无限畅学
WWWWWWWWolf
关注
Linux 上搭建 Snort+BASE 入侵检测系统
TimDyh的博客
05-04 3090
配置实验环境 由于本人电脑的存储空间不足,无法再承担安装一个虚拟机的开销,因此在阿里云上申请了一个云服务器进行本次实验。 服务器配置如下: 1 核 - 2GB 内存 - 40GB 系统盘 操作系统:Ubuntu 18.04 修改 Ubuntu 源 查看 /etc/apt/sources.list 发现已经配置好了阿里源,故不再做修改。如有需要,可自行改为阿里源或清华源,提高安装包下载速度。 ...
snort构建***检测系统IDS
weixin_34209406的博客
02-21 242
snort简介 snort是一个基于libpcap的数据包嗅探并可以作为一个轻量级的网络***检测系统(NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应,更为重要的是能够成为整体安全结构的重要成员。 snort工作模式 sn...
IDS入侵检测系统)原理和配置,以snort为例
最新发布
LAY_BB的博客
05-07 1517
入侵检测系统(Intrusion Detection System,简称IDS)是网络安全领域的一项关键技术,旨在检测和识别网络或系统中的不正常活动或潜在攻击。简单来说,IDS就像是数字世界中的“警报器”,能够实时监控网络流量、文件系统或操作系统的活动,及时发现并报告任何可疑行为。IDS的主要功能是对网络中传输的数据进行分析,识别其中可能存在的攻击行为,并通过报警或通知管理员来提醒潜在的安全威胁。入侵检测系统本身并不直接阻止攻击,而是通过监测、分析和报警的方式帮助网络安全团队及时响应。
Snort + base ***检测配置
weixin_33775582的博客
02-21 273
snort的配置分为5个部分 一 snort简单介绍 snort***检测的使用方法和处理工程 本文基于rhel5.4libpcap-0.9.4-8.1snort-2.8.0 首先需要下载mysqlapachephplibpcapadodbsnortbase等软件 libpcap是linux/unix平台下捕获数据包的函数库 ...
网络入侵检测系统Snort(二)
诗酒趁年华
12-03 620
Environment Building ubuntu-14.04.5 daq-2.0.7 snort-2.9.16.1 ubuntu配置 sudo apt-get update sudo apt-get dist-upgrade -y sudo apt-get install -y openssh-server sudo reboot 安装snort依赖 sudo apt-get install -y build-essential sudo apt-get install -y libpcap
编写snort规则检测网络攻击
guansheng123的博客
02-23 5842
Snort 规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的 动作,协议,源和目标 ip 地址与网络掩码,以源和目标端口信息; 规则选项 部分包含报警消息内容和要检查的包的具体部分。 Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert 动作用来在一个包符合规则条件时发送告警消息。告警的发送有多种方式, 例如可以发送到文件或者控制台。 Snort 当前分析可疑包的 ip 协议有四种: tcp 、 udp、 icmp 和 ip。...
snort+base一个常用于构建入侵检测系统的解决方案.docx
07-13
### Snort+Base 构建入侵检测系统的详细解析 #### 一、Snort 概述 ##### 1.1 定义与背景 Snort 是一款由 Sourcefire 公司开发的强大入侵检测系统 (IDS) 软件,遵循 GPL v2 开源许可发布。自 1998 年起,由 Martin...
[入侵检测系统][IDS]CentOS6.6下基于snort+barnyard2+base入侵检测系统搭建.docx
05-19
### 基于Snort+Barnyard2+Base在CentOS 6.6下的入侵检测系统搭建 #### 一、项目概述与环境准备 本文档旨在详细介绍如何在CentOS 6.6环境下构建一个完整的基于Snort+Barnyard2+Base入侵检测系统(IDS)。Snort是一...
入侵检测系统][IDS]CentOS6.6下搭建基于snort+barnyard2+base入侵检测系统
10-09
入侵检测系统入侵检测系统入侵检测系统入侵检测系统入侵检测系统
snort create_mysql_入侵检测系统Snort+Base安装
weixin_42360846的博客
01-20 243
安装一些支持库tar -zxvf zlib-1.2.3.tar.gzcd zlib-1.2.3./configuremakemake installcd ..tar -zxvf libpcap-0.9.5.tar.gzcd libpcap-0.9.5./configuremakemake installcd ..安装MYSQL# groupadd mysql# useradd -g mysql -...
搭建snort+base入侵检测系统需要的所有安装包
12-12
windows系统下搭建snort+base入侵检测系统需要的必要工具的安装包,其中包含ADOdb-5.20.12.zip、appserv-win32-8.6.0.exe、base-1.4.5.tar.gz、Snort_2_8_6_Installer.exe、WinPcap_4_1_3.exe、snortrules-snapshot-2900.tar.gz六个文件。 安装过程可参考https://www.jianshu.com/p/d8ca2e8c0858 压缩包解压密码:snort
在Windows环境下建立Snort+BASE入侵检测系统
Stanley's Blog
09-29 8219
版权申明:本文版权为Stanley所有,仅限于非盈利性网站、BSS、BLOG转载和收藏,未经允许,严禁用于商业用途。转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明。Snort是一套非常优秀的开放源代码网络监测系统,在网络安全界有着非常广泛的应用。其基本原理基于网络嗅探,即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析,筛选出符合危险特征的或是特殊的流量。网络管理
搭建snort+BASE入侵检测系统
guansheng123的博客
02-23 6299
搭建snort+BASE入侵检测系统
snort 检测nmap_在Windows环境下搭建Snort+BASE入侵检测系统
weixin_32688155的博客
01-13 837
操作系统: Windows 7 (service pack 1)所需软件:网络数据包截取驱动程序:WinPcap 4.1.3 (WinPcap_4_1_3.exe)Windows版本的Snort安装包:Snort 2.8.6 for Win32 (Snort_2_8_6_Installer.exe)官方认证Snort规则库:snortrules-snapshot-2860.tar.gz数据库组件及...
Ubuntu18.04搭建snort+BASE入侵检测系统
weixin_32805909的博客
05-27 5884
一、介绍 Snort是一套开源的网络入侵检测系统(NIDS),主要功能有包嗅探、包记录和入侵检测功能。   Snort能够对网络上的数据包进行抓包分析,但区别于其它嗅探器的是,它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包,进行各规则的分析后,根据规则链,可采取Activation(报警并启动另外一个动态规则链)、Dynamic(由其它的规则包调用)、Alert(报警),Pass(忽略),Log(不报警但记录网络流量)五种响应的机制。   Snort有数据包嗅探,数据包分析,数据包检
Linux snort+base搭建IDS***检测系统
weixin_33701617的博客
06-13 685
Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件Snort 有 三种工作模式:嗅探器、数据包记录器、网络***检测系统模式。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数 据包记录到硬盘上。网路***检测模式分析网络数据流以匹配用户定义的一些规则...
【2023】Windows环境搭建Snort+BASE入侵检测系统
haohello_world的博客
12-21 2561
由于我们建立的是测试环境,所有的组件安装都在一台机器上完成。
snort mysql_snort连不上数据库MySQL原因总结
weixin_33509600的博客
01-18 285
总结之前出现问题的原因:我在装snort的时候./configure --with-mysql=DIR的路径指的有问题,我的系统是已经装好mysql的所以在重总结之前出现问题的原因:我在装snort的时候./configure --with-mysql=DIR的路径指的有问题,我的系统是已经装好mysql的所以在重新安装的时候我直接./configure --with-mysql,并且在重装之前把...
Windows环境下搭建Snort+Base入侵检测系统教程
搭建基于Snort入侵检测系统IDS)时,通常需要部署一系列软件组件来实现网络流量的监控、日志记录、实时报警以及后期分析。由于本场景是在Windows环境下进行搭建,因此安装流程与在Linux环境下略有不同。以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值