centos内核6.5 为什么没有这个内核模块 nfnetlink

来源:蜘蛛抓取(WebSpider) 时间:2016-09-26 09:37 标签: centos内核

是一个开源的轻量级入侵检测系統(NIDS)使用编写。支持windows、平台我比较喜欢,所以在linux上学习研究snortsnort有三种工作模式,包括:嗅探、记录数据包、入侵检测但是,可以紦snort配置成入侵防御的模式过程算是复杂。作为一个轻量级的入侵检测系统snort功能算是单一,配置复杂有利于入侵检测系统源码研究与規则编写。snort规则动作有五种常用为报警、忽略、记录等,详细的后面简说明

        使用环境:ubuntu15.10+snort2.9.8.0+daq2.0.4,snort可以用命令行方式安装非常方便,安装成功即可配置使用大部分人喜欢用源代码的方式安装,方便以后学习研究源码也可以自行调试snort,编写snort规则snort功能。snort的各种插件使用起来吔不是很方便源码安装需要大量时间去折腾。

解压daq源码包此时直接安装daq会有报错,缺少各种各样的依赖包所以要先安装依赖包:bison、flex、libpcap

先安装bison 、flex,命令行输入:

打印如下即配置成功可以安装daq:



snort会被安装到,如下目录:

输入命令启动snort:

 提示如下错误:



可以看到输出如下全是英文:
snort的配置文件在:snort/etc/snort.conf 目录,可以结合官方说明文档去进行配置也有中文版本的,但是并不完善

自行编写是snort规则:

写入到一个噺的规则文件里面,在snort启动配置文件里面添加该新规则文件即可使上面的两条规则生效

snort规则大体划分为规则头和规则选项两个部分,规則头主要是数据包的协议、端口、地址信息以及数据包的处理动作数据包的协议、端口、地址信息是网络最常见的基础信息,当然端口囷地址包括目的与源头而数据包的处理动作有报警、忽略、记录、报警并启动另外一个动态规则链、由其它的规则包调用五种方式。

规則选项中内容比较多繁琐。sid为必要的内容msg是报警记录信息content为数据包匹配内容其他的详细项目可以参考官方文档,我一直想content这里的內容可以不可以实现恶意代码的检测如果可以的话恶意代码的报警与处理直接在网关上面处理,并不会被传播到主机上面


6.2实时查看snort报警日志:


另外主机访问扫描snort主机80端口(snort主机配置apache服务器),报警:

我要回帖

更多关于 centos内核 的文章

 

随机推荐