Snort规则配置与监控

原创 已于 2025-05-12 09:18:41 修改 · 1.6k 阅读 · 30
标签
#网络安全 #linux
于 2025-05-12 09:13:35 首次发布

目录

一、实验目的

二、实验要求

实验1:HTTP访问检测

实验2:远程Root登录检测

三、实验环境

1. 虚拟机配置

 2. 在三台虚拟机上安装配置snort

3. 配置Web服务器

4.  配置测试客户端

四、实验过程

实验一:检测HTTP访问

(1)在Snort主机上配置规则

(2)启用规则

(3)启动Snort监控

(4)客户端访问服务器的服务

实验二:远程Root登录检测

(1)在Snort主机上配置规则

(2)启用规则

(3)启动Snort监控

(4)客户端SSH连接服务器

(5)客户端Telnet连接服务器

(6)客户端FTP连接服务器

一、实验目的

1. 掌握Snort的基本部署与配置

学习在Linux/Windows系统上安装Snort入侵检测系统

理解NIDS(网络入侵检测系统)模式的工作原理

熟悉Snort配置文件的组织结构与关键参数设置

2. 实践Snort规则编写技术

掌握Snort规则语法结构与编写规范

学习针对特定网络行为(HTTP访问、特权用户登录)定制检测规则

理解规则中变量定义(如HOME_NET)、协议标识、端口限定等关键要素

二、实验要求

实验1:HTTP访问检测

实现功能:

当任意外部主机访问本机Apache服务(80端口)时

Snort需实时生成包含"HTTP Access Alert"的告警

实验2:远程Root登录检测

实现功能:

当外部主机通过FTP、SSH、Telnet(21、22、23端口)尝试root登录时

Snort需捕获登录行为并生成告警

三、实验环境

1. 虚拟机配置

主机名

IP地址

角色

运行服务

lois

192.168.1.128

Snort监控主机

Snort NIDS

lois2

192.168.1.129

测试客户端

SSH/FTP/Telnet

lois3

192.168.1.130

被监控Web服务器

Apache HTTP

 2. 在三台虚拟机上安装配置snort

Step1: 安装snort

sudo apt install -y snort

Step2: 配置监控接口

采用实际的网卡,我这里有一台ens37,两台ens33

sudo ip link set ens37 promisc on

最低0.47元/天 解锁文章
_luli_
关注
snort规则
qq_32350719的博客
09-19 1万+
Snort规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的动作,协议,源和目标ip地址网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则规则动作 在snort中有五种动作:alert、log、pass、activate和dynamic. Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert动作用来在一个...
Snort 规则基本语法
道长的博客
02-25 4130
直接上实例,首先只需要知道一点,下面这条规则代表探测到TTL位100的ICMP ping包的时候,就会产生警报。然后我们再一步步拆分解析这条规则。 alert icmp any any ->any any (msg:"Ping with TLL=100"; ttl: 100;) 一条snort规则分为规则头和规则体 ,规则体也叫规则选项, 规则选项在圆括号内 规则头(规则体) 规则头告诉snort在什么范围内去应用规则且做出什么动作。 alert icmp any any ->any a
手把手教你用Snort搭建入侵检测系统(IDS):从安装到实战配置
最新发布
weixin_30892037的博客
03-23 69
本文详细介绍了如何使用Snort搭建入侵检测系统(IDS),从硬件准备、安装配置到实战规则编写和性能调优。通过具体示例和最佳实践,帮助读者快速掌握Snort的核心功能,构建高效的网络安全监控体系,特别适合中小企业及安全从业人员参考。
Snort规则入门学习
qq_57035765的博客
03-22 7916
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分:规则头(header)和规则选项(General Option) 从开头到括号前属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
开源入侵检测软件snort部署及运维优化
02-25
Snort软件是一款优秀的开源入侵检测工具,丰富的规则库,及时的更新以及其开源的属性是网络安全工程师不能错过的一款安全利器。本课程最大的特点是详细讲解了安装部署中鲜为人知的要点,课程的大量篇幅集中于安装完成后的各项参数优化,以及实际运维中涉及到的日志过滤、存储、分析、可视化展示等内容,全部内容均在视频中进行操作演示配合讲解。学习本课程可以帮助学院从零开始完成软件部署及使用,真正实现理论技术于实际运维的结合。
Snort3:规则语法规范(三)
魔神8号的博客
11-16 2986
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
Snort介绍应用
weixin_62512865的博客
11-30 1438
网络安全监控中,Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量,触发相应的告警。这些规则包含多个字段,每个字段都扮演着特定的角色,共同确保网络活动的准确监控Snort可通过设置条件子句来监控本地账号相关活动,如失败的登录尝试。当满足条件时,触发告警或执行其他操作。通过综合运用Snort规则配置、外部规则集以及In Line部署和阻断操作,可以实现对网络活动的全面、有效监控和安全防护。
27了解网络安全防护工具 Snort 的基本用法,包括数据捕获、报警
玩机科技社的博客
05-29 5845
要编写自己的规则,可以编辑/etc/snort/rules/local.rules文件添加规则。此命令将在eth0接口上启动Snort使用/etc/snort/snort.conf配置文件和/var/log/snort/目录来存储日志文件。其中,-c 参数指定 Barnyard2 的配置文件,-d 参数指定 Snort 日志的存储路径,-f 参数指定 Snort 日志文件的名称。总之,Snort是一款非常强大的网络入侵检测系统,可以帮助网络管理员及时发现潜在的安全威胁,采取相应的措施进行防御。
ubuntu15.10下Snort安装配置
若有所思HS
01-18 3731
Ubuntu15.10下Snort安装配置过程
Snort配置管理:打造个人入侵检测系统
weixin_42576410的博客
05-12 408
本文详细介绍了Snort入侵检测系统的配置过程,包括创建自定义规则、管理传感器、下载应用规则集以及使用Snort GUI前端进行警报分析。内容涵盖了从基础规则创建使用图形界面简化管理的各个方面,为读者提供了一套完整的Snort配置教程。
Snort主动响应高级配置策略
weixin_31569663的博客
05-12 470
本文深入探讨了Snort入侵检测系统的主动响应机制和高级配置策略。我们分析了SnortSam、Fwsnortsnort_inline三种不同策略的主动响应应用程序,详细解读了如何配置Linux的通道绑定以及如何利用Snort规则集进行安全监控。文章还探讨了网络监控的挑战、主动响应系统的部署策略以及Snort在防御网络攻击中的作用。
SNORT入侵检测系统
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据包
SNORT3规则编写
windStudyer的专栏
03-01 9532
Snort3 IPS规则编写 1.规则基础 Snort规则被分为两个逻辑部分,规则头和规则选项。 规则头包含规则的操作、协议、源和目标IP地址,以及源和目标端口信息。 规则选项部分包含警报消息和应该检查数据包的哪些部分的信息,以确定是否应该采取规则操作。 规则举例: 注:第一个括号之前的文本是规则标题,括号中包含的部分包含规则选项。规则选项部分中冒号前的单词称为选项关键字。选项部分关键字可选。 2.规则规则头包含规则的操作、协议、源和目标IP地址和网掩码,以及源和..
snort规则编写简述
热门推荐
狂客队长
03-22 2万+
编写snort 规则 snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。     第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的
云安全技术——Snort安装配置
qq_53142796的博客
05-08 4140
Snort是一个开源的网络入侵检测系统,主要用于监控网络数据包检测可能的攻击行为。它可以实时分析网络流量,识别多种类型的网络攻击,如端口扫描、DoS攻击、入侵尝试等,对这些攻击进行警告或阻止。1.Snort的工作原理:Snort使用规则引擎来检测网络流量中的攻击行为。它可以在三个不同的模式下运行:嗅探模式、包记录模式和网络入侵检测模式。2.Snort配置文件:Snort配置文件包含全局设置、预处理器选项、输出选项以及规则集等。用户可以根据需要调整这些选项来满足自己的需求。3.
Snort配置使用
2302_79415891的博客
11-13 5419
Snort配置使用
snort3.0 获取注册规则(19000多条)
ailx10
02-16 639
面对生活中的手机、电脑网络监控,很多人都是束手无策的,只不过雁过留声风过留痕,黑客路过就会留下入侵痕迹,比如手机没玩的时候,流量异常的增多,且一直和某一个IP地址通信很频繁,可能是黑客正在下载手机上的图片,然而这些都是行为日志,只需要记录家庭路由器上所有的流量,便可以筛选出黑客的IP地址,snort3是从威胁的角度出发,对流量进行,个人注册的有19000多条规则~ailx101954 次咨询4.9网络安全优秀回答者互联网行业 安全攻防员去咨询。
深入理解Snort:IDS网络安全
weixin_42571280的博客
05-12 412
本文将详细探讨Snort入侵检测系统(IDS)的配置和工作原理,以及如何利用Snort工具来加固网络安全。通过分析书籍章节内容,我们将深入了解Snort安装配置规则编写和性能优化,同时揭示其在网络监控和事件响应中的应用。
kali上安装配置snort以及简单实验
遇见你的注定的博客
05-26 9713
kali上安装配置snort以及简单实验 一、kail上 snort安装 结构参考:https://blog.csdn.net/weixin_39625172/article/details/112415163这里是引用 预装daq所需程序 sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install libpcap-dev 安装daq wget https
揭秘最为知名的黑客工具之一:Snort,从零基础到精通,收藏这篇就够了!
Libra1313的博客
04-02 1501
Snort凭借其强大的功能和灵活的配置,成为了网络安全领域不可或缺的工具。无论你是网络管理员、安全专家,还是渗透测试员,掌握Snort使用技巧都将大大提升你的网络安全能力。它就像一位时刻在线的“网络安全钢铁侠”,能实时监控你的网络流量,揪出那些偷偷摸摸搞破坏的家伙,采取措施保护你的网络安全。在开始安装Snort之前,先确保你的系统已经安装了必要的依赖项。,根据预先设定的规则,识别各种潜在的安全威胁,保护你的网络安全。各种配置选项,满足你的个性化需求,打造专属的安全方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值