Linux操作系统实用教程-第十章.pptxVIP

2．Snort简介 网络入侵检测系统（NIDS，Network Intrusion Detection System）可以监视网络计算机系统，而snort就是一个功能强大的轻量级的网络入侵检测系统，适用于大中小型网络，尤其适合一些无力承受大型商业入侵检测系统高昂费用的中小型公司使用。 snort遵循通用公共许可证GPL，是一款优秀的免费软件，只要遵守GPL的任何组织和个人都可以自由使用。它具有如下的特征： snort是一个轻量级的入侵检测系统，代码极为简洁、短小。 功能强大。snort具有实时的流量分析和日志IP网络数据包的能力，能够快速地检测网络攻击，及时发出警报，并且其警报机制非常丰富。;可移植性很好。snort具有极好的跨平台性能，目前支持snort的操作系统有Linux、Solaris、BSD、HP-UX和Windows等。 能够进行协议分析，对协议数据内容进行搜索和匹配，检测各种不同的攻击方式，对攻击进行实时报警。snort能够分析的协议有TCP、UDP和ICMP等。 扩展性好，能够使用插件增加其功能。 具有很强的系统防护能力。通过使用FlexResp功能snort能够主动断开恶意连接。;3．snort的安装 通常采用编译安装的方法定制符合需要的snort应用程序。定制一个snort入侵检测系统，至少需要如下软件包的支持。 libcap-1.10-15.tar.gz：snort依赖的抓包库。 pcre-7.6.tar.gz：正则式支持库文件。 libnet-1.0.2a.tar.gz：libnet库文件。 snort-2.8.3.1.tar.gz：入侵检测器。 snortrules-snapshot-2.7.tar.gz：入侵检测规则。 注意：libnet库必须只用指定版本的源代码。;1）安装抓包库libcap 从网上下载libcap-1.10-15.tar.gz源程序包，复制到/tmp，然后在终端提示符下执行下列操作： [root@myhost root]# cd /tmp [root@myhost tmp]# tar zxvf libcap-1.10-15.tar.gz ←解压解归档源代码包 [root@myhost tmp]# cd libcap-1.10-15 ←进入生成的libcap-1.10-15目录 [root@myhost libcap-1.10-15]# ./configure ←配置编译的参数，生成Makefile文件 [root@myhost libcap-1.10-15]# .make ←编译源代码 [root@myhost libcap-1.10-15]# .make install ←安装;2）安装正则式支持库文件pcre 从网上下载pcre-7.6.tar.gz源程序包，复制到/tmp，然后在终端提示符下执行下列???作： [root@myhost libcap-1.10-15]# cd /tmp [root@myhost tmp]# tar zxvf pcre-7.6.tar.gz [root@myhost tmp]# cd pcre-7.6 [root@myhost pcre-7.6]# ./configure [root@myhost pcre-7.6]# make [root@myhost pcre-7.6]# make install;3）安装libnet库 从网上下载snort-2.8.3.1.tar.gz源程序包，复制到/tmp，然后在终端提示符下执行下列操作： [root@myhost pcre-7.6]# cd /tmp [root@myhost tmp]# tar zxvf snort-2.8.3.1.tar.gz [root@myhost tmp]# cd snort-2.8.3.1 [root@myhost libnet-1.0.2a]# ./configure [root@myhost libnet-1.0.2a]# make [root@myhost libnet-1.0.2a]# make install;4）安装入侵检测器snort 从网上下载snort-2.8.3.1.tar.gz源程序包，复制到/tmp，然后在终端提示符下执行下列操作： [root@myhost libnet-1.0.2a]# cd /tmp [root@myhost tmp]# tar zxvf snort-2.8.3.1.tar.gz [root