开发学院网络安全安全技术 Snort 使用手册,第 2 部分: 配置 阅读

Snort 使用手册,第 2 部分: 配置

 2010-01-25 00:00:00 来源:WEB开发网   
核心提示: 因此一个单个配置语句如下所示:preprocessorrpc_decode:11132771Snort 在这里使用了大量的关键字,但是为了配合本文的主题,Snort 使用手册,第 2 部分: 配置(6),即提供一种实用的、基本的 Snort 方法,因此不会过多涉及这些内容,可以作为一种入侵检测程

因此一个单个配置语句如下所示:

preprocessor rpc_decode: 111 32771

Snort 在这里使用了大量的关键字,但是为了配合本文的主题,即提供一种实用的、基本的 Snort 方法,因此不会过多涉及这些内容。但是,需要在这个文件中注意两项内容:

简短的 Snort 指令,通常包括 preprocessor 语句(关于查找内容)和用于发出警告的 output 语句(未显示在清单 4 中)。

默认的 snort.conf 文件实际上是一个功能完整的、有用的配置文件。这不是无用数据,它可用于 Snort 安装。

使用 Snort 检测入侵

准备好配置文件后,可以作为一种入侵检测程序运行 Snort(将在稍后添加规则),清单 5 展示了以 IDS 形式启动 Snort 的输出,并在前台运行。


清单 5. 作为 IDS 运行 Snort
bdm0509:/usr/local/snort-2.8.1] sudo snort -de -l logs/ -c etc/snort.conf 
Running in IDS mode 
 
    --== Initializing Snort ==-- 
Initializing Output Plugins! 
Initializing Preprocessors! 
Initializing Plug-ins! 
Parsing Rules file etc/snort.conf 
PortVar 'HTTP_PORTS' defined : [ 80 ] 
PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] 
PortVar 'ORACLE_PORTS' defined : [ 1521 ] 
Frag3 global config: 
  Max frags: 65536 
  Fragment memory cap: 4194304 bytes 
Frag3 engine config: 
  Target-based policy: FIRST 
  Fragment timeout: 60 seconds 
  Fragment min_ttl:  1 
  Fragment ttl_limit (not used): 5 
  Fragment Problems: 1 
Stream5 global config: 
  Track TCP sessions: ACTIVE 
  Max TCP sessions: 8192 
  Memcap (for reassembly packet storage): 8388608 
  Track UDP sessions: INACTIVE 
  Track ICMP sessions: INACTIVE 
Stream5 TCP Policy config: 
  Reassembly Policy: FIRST 
  Timeout: 30 seconds 
  Min ttl: 1 
  Options: 
    Static Flushpoint Sizes: YES 
  Reassembly Ports: 
   21 client (Footprint) 
   23 client (Footprint) 
   25 client (Footprint) 
   42 client (Footprint) 
   53 client (Footprint) 
   80 client (Footprint) 
   110 client (Footprint) 
   111 client (Footprint) 
   135 client (Footprint) 
   136 client (Footprint) 
   137 client (Footprint) 
   139 client (Footprint) 
   143 client (Footprint) 
   445 client (Footprint) 
   513 client (Footprint) 
   514 client (Footprint) 
   1433 client (Footprint) 
   1521 client (Footprint) 
   2401 client (Footprint) 
   3306 client (Footprint) 
HttpInspect Config: 
  GLOBAL CONFIG 
   Max Pipeline Requests:  0 
   Inspection Type:     STATELESS 
   Detect Proxy Usage:    NO 
   IIS Unicode Map Filename: etc/unicode.map 
   IIS Unicode Map Codepage: 1252 
  DEFAULT SERVER CONFIG: 
   Server profile: All 
   Ports: 80 8080 8180 
   Flow Depth: 300 
   Max Chunk Length: 500000 
   Max Header Field Length: 0 
   Inspect Pipeline Requests: YES 
   URI Discovery Strict Mode: NO 
   Allow Proxy Usage: NO 
   Disable Alerting: NO 
   Oversize Dir Length: 500 
   Only inspect URI: NO 
   Ascii: YES alert: NO 
   Double Decoding: YES alert: YES 
   %U Encoding: YES alert: YES 
   Bare Byte: YES alert: YES 
   Base36: OFF 
   UTF 8: OFF 
   IIS Unicode: YES alert: YES 
   Multiple Slash: YES alert: NO 
   IIS Backslash: YES alert: NO 
   Directory Traversal: YES alert: NO 
   Web Root Traversal: YES alert: YES 
   Apache WhiteSpace: YES alert: NO 
   IIS Delimiter: YES alert: NO 
   IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG 
   Non-RFC Compliant Characters: NONE 
   Whitespace Characters: 0x09 0x0b 0x0c 0x0d 
rpc_decode arguments: 
  Ports to decode RPC on: 111 32771 
  alert_fragments: INACTIVE 
  alert_large_fragments: ACTIVE 
  alert_incomplete: ACTIVE 
  alert_multiple_requests: ACTIVE 
Portscan Detection Config: 
  Detect Protocols: TCP UDP ICMP IP 
  Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan 
  Sensitivity Level: Low 
  Memcap (in bytes): 10000000 
  Number of Nodes:  36900 
 
ERROR: Unable to open rules file: ../rules/local.rules or etc/../rules/local.rules 
Fatal Error, Quitting..

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:Snort 使用 手册

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接