教育部的一個計畫 , 建構一台Botnet-IDS(單純在分析殭屍網路Botnet)
這要架在內部與其他功能的IDS搭配
教育部的snort.conf是Windows的
所以要稍微修改一下snort.conf
架設平台___Ubuntu12.04 + Snort2.8.5.2
apt-get install libpcap0.8-dev bison flex libc6-dev g++ gcc make libpcre3-dev mysql-server-5.5 mysql-client-5.5 libmysqlclient15-dev //後面那個是15不是L5
//裝完會要你設定DB的密碼
cd /usr/local/bin //切換目錄
wget http://ips-builder.googlecode.com/files/libnet-1.0.2a.tar.gz //下載libnet-1.0.2a.tar.gz
tar zxvf libnet-1.0.2a.tar.gz //解壓縮cd Libnet-1.0.2a //切換目錄
./configure //編譯
make
make install //安裝
wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz //下載libdnet-1.12.tgz
tar zxvf libdnet-1.12.tgz //解壓縮cd libdnet-1.12 //切換目錄
./configure //編譯
make
make install //安裝
wget http://www.procyonlabs.com/mirrors/snort/snort-2.8.5.2.tar.gz //下載snort-2.8.5.2.tar.gz
tar zxvf snort-2.8.5.2.tar.gz //解壓縮
cd snort-2.8.5.2 //切換目錄
./configure --with-mysql-libraries=/usr/lib/i386-linux-gnu/ --enable-sourcefire --enable-ipv6 //編譯
cd snort-2.8.5.2 //切換目錄
./configure --with-mysql-libraries=/usr/lib/i386-linux-gnu/ --enable-sourcefire --enable-ipv6 //編譯
-----------------------------------------------------------------------------------------------------
/usr/lib/i386-linux-gnu/ //這個目錄是參考你的libmysqlclient檔放哪裡
find / -name libmysqlclient* //搜尋指令
--------------------------------------------------------------------------------------------------------
make
mkdir /etc/snort/ //建立設定檔位置
make install //安裝
cd.. //退回上層目錄
cd.. //退回上層目錄
mkdir /etc/snort/rules //建立rules位置
mkdir /var/log/snort //建立snort_inline log位置
cp /usr/local/bin/snort-2.8.5.2/etc/* /etc/snort //複製檔案
cp /usr/local/bin/snort-2.8.5.2/etc/* /etc/snort //複製檔案
//snort主程式會在/usr/local/bin下
---------------------------------------------------------------------------------------------------------
教育學術網路系統安全與惡意程式偵測技術研發建置計畫
連進此計畫網頁下載相關檔案
點進最新日期的規則檔連結
下載最新的rules(規則檔),拉到網頁最下面時,會見到下面那張圖
下載snort.conf(設定檔)
順便把部署跟Alert的文件檔,下載來看看
跟改 /etc/snort/snort.conf的檔名
cp snort.conf snort.confg
刪除原本的snort.conf
rm snort.conf
把你下載回來的snort.conf放到/etc/snort/
vi snort.conf //編輯
*********************************************************************
#var HOME_NET [10.1.1.0/24,192.168.0.0/16]
var HOME_NET any
# Set up the external network addresses as well. A good start may be "any"
var EXTERNAL_NET any
這部分請依照網路環境做設定
********************************************************************
#var RULE_PATH ../rules
var RULE_PATH /etc/snort/rules
#dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor
目錄做修改
**********************************************************************
下載回來的Rules,要改檔名
cp anti-botnet.20130114 anti-botnet.rules
**********************************************************************
測試
snort -T -c /etc/snort/snort.conf
**********************************************************************
資料庫的部分
以root登入
mysql -u root -p //以root登入mysql
mysql> create database snort; //建立snort資料庫
mysql> use snort; //進入snort資料庫
mysql> grant all on snort.* to snortuser@localhost; //建立使用者("snortuser")
mysql> set password for snortuser@localhost=password('****'); //建立snortuser的密碼("****")
mysql>exit //登出
匯入資料表
cd /usr/local/bin/snort-2.8.5.2/ //切換到snort-2.8.5.2的目錄
mysql -u snortuser -p snort < schemas/create_mysql //匯入資料表到snort資料庫
將snort的log匯出到mysql
vi /etc/snort/snort.conf //編輯snort.conf設定檔
output database: log, mysql, user=snortuser password=**** dbname=snort host=localhost
//在snort.conf設定檔裡面,#符號刪除,並修改這一行指令
sudo snort -T -c /etc/snort/snort.conf //測試snort運作是否正常
---------------------------------------------------------------------------------------------------------
教育學術網路系統安全與惡意程式偵測技術研發建置計畫
連進此計畫網頁下載相關檔案
點進最新日期的規則檔連結
下載最新的rules(規則檔),拉到網頁最下面時,會見到下面那張圖
下載snort.conf(設定檔)
順便把部署跟Alert的文件檔,下載來看看
跟改 /etc/snort/snort.conf的檔名
cp snort.conf snort.confg
刪除原本的snort.conf
rm snort.conf
把你下載回來的snort.conf放到/etc/snort/
vi snort.conf //編輯
*********************************************************************
#var HOME_NET [10.1.1.0/24,192.168.0.0/16]
var HOME_NET any
# Set up the external network addresses as well. A good start may be "any"
var EXTERNAL_NET any
這部分請依照網路環境做設定
********************************************************************
#var RULE_PATH ../rules
var RULE_PATH /etc/snort/rules
#dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor
目錄做修改
**********************************************************************
下載回來的Rules,要改檔名
cp anti-botnet.20130114 anti-botnet.rules
**********************************************************************
測試
snort -T -c /etc/snort/snort.conf
**********************************************************************
資料庫的部分
以root登入
mysql -u root -p //以root登入mysql
mysql> create database snort; //建立snort資料庫
mysql> use snort; //進入snort資料庫
mysql> grant all on snort.* to snortuser@localhost; //建立使用者("snortuser")
mysql> set password for snortuser@localhost=password('****'); //建立snortuser的密碼("****")
mysql>exit //登出
匯入資料表
cd /usr/local/bin/snort-2.8.5.2/ //切換到snort-2.8.5.2的目錄
mysql -u snortuser -p snort < schemas/create_mysql //匯入資料表到snort資料庫
將snort的log匯出到mysql
vi /etc/snort/snort.conf //編輯snort.conf設定檔
output database: log, mysql, user=snortuser password=**** dbname=snort host=localhost
//在snort.conf設定檔裡面,#符號刪除,並修改這一行指令
sudo snort -T -c /etc/snort/snort.conf //測試snort運作是否正常
沒有留言:
張貼留言