snort实现入侵检测功能

一、安装

概念
用snort软件打造入侵监测系统：

入侵监测系统和防火墙关系

1. IDS是继防火墙之后的又一道防线，防火墙是防御，IDS是主动检测，两者相结合有力的保证了内部系统的安全；
2. IDS实时检测可以及时发现一些防火墙没有发现的入侵行为，发行入侵行为的规律，这样防火墙就可以将这些规律加入规则之中，提高防火墙的防护力度。
3. IDS是继防火墙之后的又一道防线，防火墙是防御，IDS是主动检测，两者相结合有力的保证了内部系统的安全；
4. IDS实时检测可以及时发现一些防火墙没有发现的入侵行为，发行入侵行为的规律，这样防火墙就可以将这些规律加入规则之中，提高防火墙的防护力度。
   3，构建入侵监测系统

升级系统

从源安装：

在安装snprt之前，我们需要先安装Libpcap 和 DAQ
某些网卡具有可能影响Snort的功能。其中两个特征被命名为“大”

接收卸载”（lro）和“通用接收卸载”（gro）。启用这些功能后，网络

卡在被内核处理之前执行数据包重组。

默认情况下，Snort将截断大于默认snaplen 1518字节的数据包。此外，LRO和

GRO可能会导致基于流目标的重新组装出现问题。我们建议您关闭LRO和

格罗。在linux系统上，您可以运行：

安装 DAQ

二、配置

现在需要修改一些配置文件，从snort.org中下载规则，对snort做测试运行
首先，我们需要升级共享库

要验证snort的安装，请使用以下命令：

要在CentOS上安全地运行Snort而无需root访问，我们应该创建一个新的非特权用户和一个新的守护程序的用户组

然后创建文件夹结构以保持Snort配置，使用下面的命令。如果你安装了

使用yum的Snort这些目录应该已经在安装时添加，请检查以确保。

创建新的文件：

从git下载Pulledpork 并下载

运行这些命令以更改snort.conf上的规则路径，并生成一些文件：

运行 Pulledpork:

要使Pulledpork自动运行，请访问https://snort.org/oinkcodes 阅读说明书。

例如：（确保使用他们的命令）

如下改变参数：

最后，通过以下命令测试snort配置文件：

这些规则对发送到$HOME_ NET的所有icmp消息发出警报（snort警报结构可在snort.org中找到）

四、作为守护进程运行snort

要在CentOS上作为服务在后台运行snort，您应该将以下脚本复制到/etc/init.d/

并将此脚本复制到该文件（替换接口名称）：

如果我们使用systemctl status snortd.service，我们应该看到如下输出：

注释这些变量：

然后将rsyslog配置为将从snort接收到的日志存储到/var/log/alert.log：

为swatch的配置文件创建文件夹

作为守护进程运行并使用新的配置文件

for run in stratup make swatch.sh and copy upper command into it and append ;

举例说明：

配置elasticsearch

为Elasticsearch启用内存锁。这将禁用Elasticsearch的内存交换。

下载和配置Kibana：
我们将用nginx web服务器安装和配置Kibana。Kibana将在本地主机IP上侦听

地址和Nginx充当Kibana应用程序的反向代理。

配置nginx：

现在我们需要在conf.d目录中创建一个新的虚拟主机配置文件。创建新文件

带vi的“kibana.conf”

安装和配置日志存储：

运行 logstash

如果有多个传感器，则必须在每个传感器上安装filebeat并向主系统发送警报。

打开你的网站浏览器，输入你的ip地址去看Kibana:

在索引模式中搜索：snort-*

然后将索引添加到kibana。如果没有看到索引，请返回并检查堆栈的安装。

来源：tlucky1