使用Snort进行入侵检测方法

1．实验环境

实验环境如图5-47所示：

2．实验步骤

第1步：在192.168.10.5上安装Snort。到http://www.snort.org/上下载snort-2.8.6.tar.gz和snortrules-pr-2.4.tar.gz。安装Snort之前先下载并且安装libpcap-devel、pcre和pcre-devel。将snort-2.8.6.tar.gz解压后进入snort-2.8.6，然后依次执行如下命令：

[root@localhost snort-2.8.6]#./configure

[root@localhost snort-2.8.6]#make

[root@localhost snort-2.8.6]#make install

[root@localhost snort-2.8.6]#mkdir -p /etc/snort/rules

[root@localhost snort-2.8.6]#cp etc/*.conf /etc/snort

[root@localhost snort-2.8.6]#cp etc/*.config /etc/snort

[root@localhost snort-2.8.6]#cp etc/unicode.map /etc/snort

[root@localhost snort-2.8.6]#mkdir /var/log/snort

将snortrules-pr-2.4.tar.gz解压后，将其中的规则文件全部复制到/etc/snort/rules下。编辑/etc/snort/snort.conf文件，将“var RULE_PATH ../rules”改为“var RULE_PATH /etc/snort/rules”。编辑/etc/snort/rules/icmp.rules文件，如图5-48所示。

第2步：在192.168.10.5上启动snort进行入侵检测，执行的命令如下：

[root@localhost ~]# snort -i eth1 -c/etc/snort/snort.conf -A fast -l /var/log/snort/

第3步：在192.168.10.1上的终端窗口中执行ping 192.168.10.5命令，如图5-49所示，然后再使用端口扫描工具对192.168.10.5进行端口扫描，如图5-50所示。

第4步：在192.168.10.5上分析检测数据，如图5-51所示，前4行对应与第3步的ping命令，第6行表明192.168.10.1对192.168.10.5进行了端口扫描。