第七课安装置入侵检测系统.pptVIP

黑客防线之Linux加固教程 （第七讲） 安装配置入侵检测系统 讲 师：杨 宁(cnbird) E-MAIL：hbtmjx@21 QQ:441303228 本章知识点 了解一下基本的系统扫描软件 了解IDS系统知识 构建自己的IDS(snort免费软件) 一.漏洞扫描软件简介 SSS(Security Shadow Scan) 俄罗斯的大牛写的扫描软件非常实用，功能强大. Wvs(Vulnerability scan) 专门从事web漏洞的扫描，非常好用. 其他的x-scan,SolarWinds(Cisco漏洞扫描) 二.IDS简介 入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击　　IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。 三. snort snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 Snort下载,安装, Snort配置 groupadd snort useradd -g snort snort -s /bin/false passwd -S snort mkdir -p /etc/snort/rules mkdir -p /var/log/snort/archive chown -R snort.snort /var/log/snort cd etc; cp * /etc/snort 四. Snort配置(一) 嗅探器 snort -dev -v 使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息. -vd 看到应用层的数据 -e 显示数据链路层数据 四. Snort配置(二) Snort命令参数 -l log 把所有截获的数据包放到一个文件中 -b 数据包截获的是二进制的可以在一些软件中解包 五.Snort的入侵检测系统 snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式： ./snort -d -l ./log -h /24 -c snort.conf * *