快速建立一个入侵检测系统.doc

　　快速建立一个入侵检测系统～教育资源库 　　入侵检测系统也叫IDS=instrusion detection system,他常常被网络管理员用来检测网络受攻击的程度和频繁度，为他进行下一步的管理提供充足的资料。 　　这里采用linux+snort,因为他们都是免费的,并且采用源码包安装 　　软件下载 　　libpcap .tcpdump.org 　　snort-1.9 .snort.org 　　首先你必须有root权限 　　su 　　passake 　　[rootSEC libpcap-0.6.2]#make install 　　接着安装snort，如果不需要把日志写到mysql数据库的话，配置很简单 　　[rootSEC libpcap-0.6.2]#cd ../snort-1.9.0 　　[rootSEC snort-1.9.0]#./configure --prefix=/usr/local/snort19 　　[rootSEC snort-1.9.0]#make 　　[rootSEC snort-1.9.0]#make install 　　OK,安装完毕，如果在上述安装过程中出现任何错误，请查看README文件 　　接着，把当前目录下的etc目录和rules目录cp到snort的安装目录 　　[rootSEC snort-1.9.0]#cp etc /usr/local/snort19 -r 　　[rootSEC snort-1.9.0]#cp rules /usr/local/snort19 -r 　　接着，把etc下的classification.config复制到/root/目录下 　　再把etc里面的snort.conf复制到root目录下并改名为.snortrc 　　[rootSEC snort-1.9.0]#cp etc/classification.config /root/ 　　[rootSEC snort-1.9.0]#cp etc/snort.conf /root/.snortrc 　　现在编辑snort的配置文件.snortrc 　　vi /root/.snortrc 　　先在102行找到var RULE_PATH ../rules 　　把他改成var RULE_PATH /usr/local/snort19/rules 　　然后在590行看到 　　include $RULE_PATH/bad-traffic.rules 　　这些是SNORT的规则集，针对系统类型和网络环境选上你所需要的规则，OK，编辑完毕！ 　　接着为了方便，我们把snort的可执行程序复制/usr/sbin目录 　　[rootSEC snort-1.9.0]#cp /usr/local/snort19/bin/snort /usr/sbin/snort 　　最后为snort放日志创建一个目录 　　[rootSEC snort-1.9.0]#mkdir /var/log/snort 　　马上测试一下 　　[rootSEC snort-1.9.0]#snort 　　Initializing Output Plugins! 　　Log directory = /var/log/snort 　　Initializing Netode: fast, full, console, or none (alert file alerts only) 　　unsock enables UNIX socket logging (experimental). 　　-a Display ARP packets 　　-b Log packets in tcpdump format (much faster!) 　　-c Use Rules File 　　-C Print out payloads p the Application Layer 　　-D Run Snort in background (daemon) mode 　　-e Display the secon 123下一页 友情提醒：，特别！d layer header info 　　-f Turn off fflush() calls after binary log file 　　-g Run snort gid as group (or gid) after initialization 　　-G Add reference ids back into alert msgs (modes: basic, url) 　　-h Home e to alert output 　　-l Log to dire