SNORT入侵检测3
所属分类:
网络安全 / 黑客入侵
阅读数:
146
收藏 0赞 0分享
日志信息通常存放在文件中。默认情况下,Snort将这些信息存放在/var/log/snort目录下,但是也可以在启动Snort时用命令行开关来改变这个目录。日志信息可以存储为文本格式或者二进制格式,二进制格式的文件可以供Snort或者Tcpdump随后访问。Barnyard工具可以分析Snort产生的二进制日志文件。将日志存放为二进制文件可以有更高的效率,因为这种格式开销相对较低。将Snort应用在高速网络环境中,将日志存放为二进制文件是非常必要的。
引言:
snort的输出插件最常用的方法一是将警报(例如告警和其他日志消息)记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache (http://www.apache.com)Web服务器,我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作,使我们可以将入侵检测数据记录到数据库,然后用web界面察看和分析这些数据。
另外一种就是用外部代理将警报输出到Barnyard,这需要snort采用统一格式进行输出。
第一种会产生一个主要的输出瓶劲。。。。
这样snort就可以尽可能地处理数据流并产生警报
Barnyard安装:
#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql
--with-mysql-libraries=/usr/local/mysql/lib/mysql
#make
#make install
cp etc/barnyard.conf /etc/.
目的:
snort的输出不直接输出到数据库,而是输出到Unfied的统一格式,这样可以加快snort的处理数据流。
修改/etc/barnyard.conf配置文件:
config interface: eth0
支持acid的数据库输出:
output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full
output log_acid_db: mysql, database snort_archieve, server localhost, user root, password admin,detail full
修改:/etc/snort/snort.conf
output alert_unified: filename /var/log/snort/snort.alert, limit 128
output log_unified: filename /var/log/snort/snort.log, limit 128
这样,可以加快snort的速度
执行模式有单步,连续,检验指示的连续方式
如:下面这种就是连续方式把统一日志文件输出到插件
#barnyard -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert
参数含义:
-c /etc/barnyard.conf barnyard的配置文件位置
-d /var/log/snort snort的ubfied统一格式文件的位置
-s /etc/snort/sid-msg.map 告诉sid-msg.map文件的位置,文件sid-msg.map 包含一个从msg标签到snort规则ID的映射。
-g /etc/snort/gen-msg.map 告诉gen-msg.map文件的位置,注意gen-msg.map在snort的安装程序的etc目录下
-p /etc/snort/classification.config 告诉classification.config文件的位置,该文件定义规则类
-f snort.alert 告诉barnyard以连续方式运行时需要的Unfied统一文件的基本名字。snort在产生的文件后面会自动加一个unix时间的时间戳,基本名字就是去掉时间戳的文件名
这样就可以连续实现把unfied的文件输出到插件,本例也就是输出到acid数据库中
如果是单步模式
#barnyard -o -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert.时间戳
加参数-d是后台运行的意思,这样写到acid的数据库后,执行完就回到shell界面下了。
对有防火墙主机的入侵渗透
一、踩点
ping
[url=http://www.xxx.com]www.xxx.com[/url]
发现超时,可以是有防火墙或做了策略。再用superscan扫一下,发现开放的端口有很多个,初步估计是软件防火墙。
二、注入
从源文件里搜索关键字asp,
收藏 0赞 0分享
浅谈入侵UNIX
一:基本知识
1:常见UNIX版本:
SCO UNIX,Sunos,Solaris,HP-UX,Digtal,Unix,IRIX,AIX,Linux,FreeBSD, 386BSD,A/UX,BSD,BSD-LITE,Goherent,Dynix,Hurd(GNN)
收藏 0赞 0分享
全方位了解黑客如何入侵NT系统
现在的企业当中一般都是使用的NT系统,也不得不承认,NT系统的确是非常适合企业使用的操作系统,然而“黑客”的攻击引来了企业信息安全危机……
得到了NT的管理员密码还能做什么,还不是想做什么就做什么呗。但到底能做什么呢?能详
收藏 0赞 0分享
入侵Oracle数据库时常用的操作命令整理
本文按步骤讲解如何入侵Oracle数据库时常用的操作命令整理。
1、su–Oracle不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
2、sqlplus /nolog 或sqlplus system/manager 或./sq
收藏 0赞 0分享
通杀动易2005的 XSS 攻击
动易2005里面,留言的时候存在一个XSS。
攻击方法如下 :
首先在网站注册一个普通会员,然后去GUESTBOOK留言,在插入图片的时候地址写上(建议在原代码里面把图片的高度与宽度都设置成0,这样在图片前面加上这个连接,基本上就看不见图片了,图片的连接却被管理员解吸
收藏 0赞 0分享
Serv-u6.0提权新招
适用环境:服务器禁用FSO,关掉Wscript.shelll,没有执行权限。
限制:没有更改管理员的密码,或者破解出了Serv-U的管理员的密码。Serv-U默认用户名:localadministrator 密码:#|@$ak#.|k;0@p 下面用MSWins
收藏 0赞 0分享
DNS(域名服务器)欺骗技术
概述:什么是DNS欺骗?
DNS欺骗是一门改变DNS原始指向IP的艺术。为了更好的理解,让我们先来看一个例子。如果你想用浏览器去google搜索一些信息,毫无疑问的你会在地址栏里输入www.google.com的网址然后回车。
那么在这背后又有什么事情正在进行着呢?一般而
收藏 0赞 0分享
用“电驴”抓肉鸡
我用“电驴”抓肉鸡!!难道是放一个“电驴”在路上,等“火鸡”过来,一不小心踩在“电驴”上结果给烫熟了,结果就成“肉鸡”了。很多朋友说抓肉鸡很难,找好肉鸡就更难,
收藏 0赞 0分享
轻松学会入侵网络服务器
尽管为服务器设计软件的软件工程师们想方设法提高系统的安全性,然而由于系统管理员的水平参差不齐或安全意识底下,往往给黑客提供了入侵的机会。
其实每一个黑客都有自己独到的方法。笔者对于入侵网站服务器的资料收集了很多,但是因为实际情况的不同,往往
收藏 0赞 0分享
139/445端口与入侵win 2000主机
SMB(Server Message Block),Windows协议族,用于文件和打印共享服务。在Win9X/NT中SMB基于NBT实现,NBT(NetBIOS over TCP/IP)使用137, 138 (UDP) and 139 (TCP)来实现基于TCP/IP的NETB
收藏 0赞 0分享
