[分享]開放原始碼的入侵偵測系統:Snort

orzzro

初級會員
已加入
10/5/06
訊息
2
互動分數
0
點數
0
非常感謝,這篇是我看過最詳細的圖文教學,對於資訊安全的工具又有了更深一層的認識。
 

billylinw

丫賢!!
已加入
5/21/06
訊息
498
互動分數
0
點數
0
年齡
35
網站
tw.myblog.yahoo.com
感謝您的教學唷!
最後我有試成功,一開始是我密碼有輸入可是我忘記了,
才會一直登不進去Orz
 

o2on

高級會員
已加入
12/12/06
訊息
549
互動分數
0
點數
0
年齡
38
真是好的技術文章,甘拜下風,也來給大大支持一下囉~

推 ~
 

bootwilly

進階會員
已加入
9/18/03
訊息
340
互動分數
0
點數
0
拿來筆電上面跑~~

哈哈~~

再推~~
 

ycchen

初級會員
已加入
10/11/07
訊息
2
互動分數
0
點數
0
您好,我安裝的是snort win版
並且按照你所提供的步驟順序安裝
但是到了這個步驟

c:\snort\bin \snort -c c:\snort\etc\snort\snort.conf -l c:\snort\log -i 2

打入之後
卻會顯示

Initializing rule chains...
ERROR: Unable to open rules file: c:\snort\etc\snort\snort.conf or c:\snort\etc\
snort\c:\snort\etc\snort\snort.conf
Fatal Error, Quitting..

顯示的訊息
好像是找不到snort.conf的那個檔案
不知道是不是提供出來的指令,檔案位置有錯
於是我做了稍微的修改
c:\snort\bin \snort -c c:\snort\etc\snort.conf -l c:\snort\log -i 2

但是有出現了以下問題,打入後,顯示的錯誤訊息為
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERR
OR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..

請問一下這個是什麼問題呢?我一值找不到解決的方式
而且我確定我所按照你給的步驟,都沒有做錯
卻顯示以下問題
請問一下這個問題要如何解決呢?
 

夢夢狐

疑難雜症狐
已加入
11/13/03
訊息
3,073
互動分數
0
點數
36
網站
www.machcannon.idv.tw
但是有出現了以下問題,打入後,顯示的錯誤訊息為
Loading dynamic engine /usr/local/lib/snort_dynamicengine/libsf_engine.so... ERR
OR: Failed to load /usr/local/lib/snort_dynamicengine/libsf_engine.so: 126
Fatal Error, Quitting..

請問一下這個是什麼問題呢?我一值找不到解決的方式
而且我確定我所按照你給的步驟,都沒有做錯
卻顯示以下問題
請問一下這個問題要如何解決呢?

嗚啊,好久沒有摸了OTL......Q口Q|||
很對不起呀......。

然後最近又遇到P4P800(Intel 865)+nV Gf4-440這塊舊版竟然裝不起來Ubuntu,
連光碟開機都開不起來這種鳥問題OTL(翻桌=皿=|||

編輯snort.conf
snort.conf位置在 [作業系統槽]\snort\etc\ 裡面

找尋var RULE_PATH ../ rules 改為var RULE_PATH [作業系統槽]:\snort\rules

找尋# output database: log, mysql, user=root password=test dbname=db host=localhost
改為output database: alert, mysql, user=snort password=[mySQL密碼] dbname=snort_log host=localhost sensor_name=[本機電腦名稱]
(均為同一行)

找尋include classification.config 改為include [作業系統槽]:\snort\etc\classification.config

找尋include reference.config 改為include [作業系統槽]:\snort\etc\reference.config

找尋dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ 改為
dynamicpreprocessor directory [作業系統槽]:\Snort\lib\snort_dynamicpreprocessor

找尋# output log_tcpdump: tcpdump.log (請全部鍵入搜尋工具尋找,有相當相似的另一選項)
改為output alert_fast: alert.ids

那一個snort.conf有做到這點嗎?
如果有的話檢查一下

再不行的話請按照本文處置。
http://www.snort.org/archive-10-4995.html

引用自http://www.snort.org/archive-10-4995.html

snort.conf:

dynamicpreprocessor directory [作業系統槽]:\Snort\lib\snort_dynamicpreprocessor


dynamciengine c:\snort\lib\snort_dynamicengine\sf_engine.dll

還有,一點閒聊Orz
windows版安裝時的小毛病和謎問題不少......如果安裝時遇到問題,看不懂陰溝裡去文就慘了|||
而且沒辦法玩其他能使snort變成IPS的外掛,例如snort-inline、Snortsam or Guardian
基本上實用上還是Linux版會比較好吧!
 

lgs0809

大海管理 員
已加入
7/11/06
訊息
3,279
互動分數
0
點數
36
感謝分享,原來有這麼方便的套件可以使用,
很棒的文章。
 

t28

高級會員
已加入
4/25/06
訊息
538
互動分數
0
點數
0
好文章,感謝分享
 

ycchen

初級會員
已加入
10/11/07
訊息
2
互動分數
0
點數
0
嗚啊,好久沒有摸了OTL......Q口Q|||
很對不起呀......。

然後最近又遇到P4P800(Intel 865)+nV Gf4-440這塊舊版竟然裝不起來Ubuntu,
連光碟開機都開不起來這種鳥問題OTL(翻桌=皿=|||



那一個snort.conf有做到這點嗎?
如果有的話檢查一下

再不行的話請按照本文處置。
http://www.snort.org/archive-10-4995.html



還有,一點閒聊Orz
windows版...


你好,上述問題已經解決了,但是我要使用ACID的繪圖功能的時候
在一開始的畫面,點選Graph alert data
卻出現
Fatal error: Allowed memory size of 8388608 bytes exhausted (tried to allocate 98304 bytes) in C:\AppServ\www\adodb\adodb-time.inc.php on line 1383
這樣的錯誤訊息說....
錯誤的訊息好像跟adodb有問題
不過你上面的安裝方法,好像也沒有對adodb做相關的修改設定動作
請問怎麼會出現這個問題呢ˇˇ?
我在網路上搜尋了一下,好像沒有人討論這個問題@@
 

bugaloolu

普通會員
已加入
12/26/07
訊息
1
互動分數
0
點數
0
緊急緊急!救命ㄚ救命

我資訊安全剛好有實作這個老師要我們DEMO一個東西可是用不出來
很緊急,我過兩天就要DEMO了.......拜託大大救命ㄚ!
:( :( :( :( :( :( :( :( :( :( :( :( :( :( :( :( :( :( :( :( :(
Q:要如何編寫規則檔且這個規則檔要把 UDP或是TCP給封鎖
 
▌延伸閱讀