SNORT入侵检测3
所属分类:
网络安全 / 黑客入侵
阅读数:
194
收藏 0赞 0分享
日志信息通常存放在文件中。默认情况下,Snort将这些信息存放在/var/log/snort目录下,但是也可以在启动Snort时用命令行开关来改变这个目录。日志信息可以存储为文本格式或者二进制格式,二进制格式的文件可以供Snort或者Tcpdump随后访问。Barnyard工具可以分析Snort产生的二进制日志文件。将日志存放为二进制文件可以有更高的效率,因为这种格式开销相对较低。将Snort应用在高速网络环境中,将日志存放为二进制文件是非常必要的。
引言:
snort的输出插件最常用的方法一是将警报(例如告警和其他日志消息)记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache (http://www.apache.com)Web服务器,我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作,使我们可以将入侵检测数据记录到数据库,然后用web界面察看和分析这些数据。
另外一种就是用外部代理将警报输出到Barnyard,这需要snort采用统一格式进行输出。
第一种会产生一个主要的输出瓶劲。。。。
这样snort就可以尽可能地处理数据流并产生警报
Barnyard安装:
#./configure --enable-mysql --with-mysql-includes=/usr/local/mysql/include/mysql
--with-mysql-libraries=/usr/local/mysql/lib/mysql
#make
#make install
cp etc/barnyard.conf /etc/.
目的:
snort的输出不直接输出到数据库,而是输出到Unfied的统一格式,这样可以加快snort的处理数据流。
修改/etc/barnyard.conf配置文件:
config interface: eth0
支持acid的数据库输出:
output alert_acid_db: mysql, database snort, server localhost, user root, password admin,detail full
output log_acid_db: mysql, database snort_archieve, server localhost, user root, password admin,detail full
修改:/etc/snort/snort.conf
output alert_unified: filename /var/log/snort/snort.alert, limit 128
output log_unified: filename /var/log/snort/snort.log, limit 128
这样,可以加快snort的速度
执行模式有单步,连续,检验指示的连续方式
如:下面这种就是连续方式把统一日志文件输出到插件
#barnyard -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert
参数含义:
-c /etc/barnyard.conf barnyard的配置文件位置
-d /var/log/snort snort的ubfied统一格式文件的位置
-s /etc/snort/sid-msg.map 告诉sid-msg.map文件的位置,文件sid-msg.map 包含一个从msg标签到snort规则ID的映射。
-g /etc/snort/gen-msg.map 告诉gen-msg.map文件的位置,注意gen-msg.map在snort的安装程序的etc目录下
-p /etc/snort/classification.config 告诉classification.config文件的位置,该文件定义规则类
-f snort.alert 告诉barnyard以连续方式运行时需要的Unfied统一文件的基本名字。snort在产生的文件后面会自动加一个unix时间的时间戳,基本名字就是去掉时间戳的文件名
这样就可以连续实现把unfied的文件输出到插件,本例也就是输出到acid数据库中
如果是单步模式
#barnyard -o -c /etc/barnyard.conf -d /var/log/snort
-s /etc/snort/sid-msg.map -g /etc/snort/gen-msg.map
-p /etc/snort/classification.config -f snort.alert.时间戳
加参数-d是后台运行的意思,这样写到acid的数据库后,执行完就回到shell界面下了。
XSS Phishing - 新式跨站脚本攻击方式(图)
最近跨站脚本漏洞好像比较火,国内的一些比较出名的WEB程序都陆续暴出了跨站脚本漏洞,但是一提到跨站脚本漏洞的攻击方式大家都哑火了,因为在常规的概念中这种漏洞最多是挂网页木马,获取COOKIE之类,属于典型的鸡肋漏洞!
跨站脚本攻击最大的魅力是通过HTML注
收藏 0赞 0分享
PHP数据库安全之SQL注入
$offset = $argv[0]; // 注意,没有输入验证!
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$resu
收藏 0赞 0分享
传世木马盗号过程分析
玩传世已经有一段时间了,以前对木马盗号之类的事情总是听的很多,但是从来没有碰到过,自从玩了传世开始,让小弟我着实领教了一次什么叫木马盗号,那个厉害阿。以至于现在上网都怕怕,怕中招。好废话不说,来分析一下木马盗号的原理(如果有那位大侠认为不够准确或是原理有所出入
收藏 0赞 0分享
浅析*NIX机器的入侵
目前来说*NIX机器早已经成为INTERNRT的主流服务器操作系统了,UNIX系列系统的优势相WINDOWS比较而言优势也是显而易见的。
而与之接口的脚本目前来说是以PHP MYSQL为主。当然也不乏大公司用JSP和CGI和PL,不过CGI和PL的处理相对比较困难一点,容易造
收藏 0赞 0分享
一次透过SNIFF有目的性的入侵
一次透过SNIFF有目的性的入侵
所用武器:流光,SUPERSCAN3,HDOOR,NETCAT,3389客户端,X-SNIFF
宿舍装了ADSL,我疯狂地在网上看电影和在QQ里泡MM(也可能是恐龙吧 :( )。网络入侵和安全方面的学习已经荒废了好一段时间
收藏 0赞 0分享
渗透日本服务器群
因为这一局,渗透获取整个服务器群的权限,N台服务器。所以写篇文章小小虚荣下。^0^
开局:
入手点是一个注射点:sa,内网, 轻车熟路写个vbs脚本,下好lcx,转发端口。
以下是引用片段:
down.vbs
iLocal = LCase(WScript.Ar
收藏 0赞 0分享
黑客入侵“在线影院”全过程2
遇阻:寻找VOD电影
首先运行Windows XP自带远程登录器mstsc.exe,填入对方的IP地址218.147.*.*,确定后在登录界面填上我刚创建的用户名hacker和密码12345,顺利地进入了对方的Windows 2000桌面。
可随后
收藏 0赞 0分享
黑客入侵“在线影院”全过程1
最近对网上看电影比较感兴趣,于是登录至某“在线影院”。本以为是免费,谁知问我要账号和密码,我可不想为这个掏钱。怎么办?先探探路
收藏 0赞 0分享
入侵藏在防火墙后面的机子
事情是这样的:
遭遇一台湾的dns服务器,win2003 server
扫描器报告的开放端口:21,53,80
ok,弄到一个sa权限的注射点,很爽得拿到一个webshell,透过sqlrootkit,俺就是system权限了.本以为对方菜到家了.谁知故事才刚刚开始.
收藏 0赞 0分享
看清黑客穿透ADSL路由入侵内网
也许看烂了网上已有的常规黑客攻击手段,对一些陈旧的入侵手法早已厌烦,近来我对ADSL MODEM的路由功能产生了浓厚的兴趣,经过一番努力,我终于找到了穿透ADSL路由入侵内网的方法,在这里和各位一起分享我的心得。
一.扫描
现在很多ADSL MODEM都是通过80、2
收藏 0赞 0分享
