Linux平台Snort入侵检测系统
2012-08-02 13:08:44 来源:WEB开发网核心提示:• Conversation• Portscan2• SPADE2.4、检测引擎检测引擎将流量与规则按其载人内存的顺序依次进行匹配,是Snort的一个主要部件,Linux平台Snort入侵检测系统(2),2.5、输出插件Snort的输出插件接收Snort传来的入侵数据,输出插件的目的是将报
• Conversation
• Portscan2
• SPADE
2.4、检测引擎
检测引擎将流量与规则按其载人内存的顺序依次进行匹配。是Snort的一个主要部件。
2.5、输出插件
Snort的输出插件接收Snort传来的入侵数据。输出插件的目的是将报警数据转储到另一种资源或文件中。
.6、Snort的性能问题
Snort有效工作的性能可能会受到以下几种选择的限制:硬件、操作系统和连网的组件。
对snort的性能影响最大的是snort的配置设定以及规则集设置。内部瓶颈则主要出现在包解码阶段,要snort检查包的容,那么它比一般的规则都要更加耗费系统资源。启用的检查包内容的规则越多,snort的运行就需要越多的系统资源。如果要激活预处理程序中的某些设置选项,就会需要消耗额外的系统资源。最明显的例子就是启用在frag2预处理程序和stream4预处理程序中的“最大存储容量(memcap)”选项。如果您打算激活大量耗费资源的预处理程序选项,最好确定有足够的硬件资源的支持。我曾经遇到过一个用户花了大笔的钱购买了最先进的 IDS由于配置不当,连检测100M网都出现了丢包现象。
1)、SPAN端口监控
在监控时我们必然需要做SPAN,SPAN端口监控是另外一种在现有网络结构中引入监控网段的方法。Cisco交换机的中高端产品都有SPAN端口或镜像端口。Span端口既可以是一个专用端口,也可以通过该端口实现交换机上所有的端口的配置选项设定。利用SPAN端口的特点实现监控功能是一种实用的方法。使用SPAN端口监控法并不会给所要监控的网络引入单点错误的问题。与网内Hub监控法相比,这是使用SPAN端口监控最大的优点。
注意:镜像顺序问题:当所监控的网络要升级为高带宽网络时,可以先是只镜像一个端口,对snort的性能观察一段时间,并根据需要进行调整。当snort的这个端口调整好了之后,可以切合实际的、循序渐进的增加别的端口,要注意的是,千万不能一下子增加过多的端口。用SPAN端口监控法将会降低本生交换设备的性能用SPAN端口会使交换设备的内存负担过重,从而使设备的性能下降。对流量的映是一个非常耗费内存的过程。
2.7、安装Snort
操作系统:Red Hat Enterprise Linux 5.5
数据库:MySQL:mysql-5.1
Web服务器:Apache:httpd-2.2
WEB语言:PHP:php-5.4
首先我们需要安装MySQL 、Apache(必须安装mod_ssl模块) 、PHP、并进行配置Apache,其详细安装过程可以参见《Linux企业应用案例精解》一书不在这里讲解。
• Portscan2
• SPADE
2.4、检测引擎
检测引擎将流量与规则按其载人内存的顺序依次进行匹配。是Snort的一个主要部件。
2.5、输出插件
Snort的输出插件接收Snort传来的入侵数据。输出插件的目的是将报警数据转储到另一种资源或文件中。
.6、Snort的性能问题
Snort有效工作的性能可能会受到以下几种选择的限制:硬件、操作系统和连网的组件。
对snort的性能影响最大的是snort的配置设定以及规则集设置。内部瓶颈则主要出现在包解码阶段,要snort检查包的容,那么它比一般的规则都要更加耗费系统资源。启用的检查包内容的规则越多,snort的运行就需要越多的系统资源。如果要激活预处理程序中的某些设置选项,就会需要消耗额外的系统资源。最明显的例子就是启用在frag2预处理程序和stream4预处理程序中的“最大存储容量(memcap)”选项。如果您打算激活大量耗费资源的预处理程序选项,最好确定有足够的硬件资源的支持。我曾经遇到过一个用户花了大笔的钱购买了最先进的 IDS由于配置不当,连检测100M网都出现了丢包现象。
1)、SPAN端口监控
在监控时我们必然需要做SPAN,SPAN端口监控是另外一种在现有网络结构中引入监控网段的方法。Cisco交换机的中高端产品都有SPAN端口或镜像端口。Span端口既可以是一个专用端口,也可以通过该端口实现交换机上所有的端口的配置选项设定。利用SPAN端口的特点实现监控功能是一种实用的方法。使用SPAN端口监控法并不会给所要监控的网络引入单点错误的问题。与网内Hub监控法相比,这是使用SPAN端口监控最大的优点。
注意:镜像顺序问题:当所监控的网络要升级为高带宽网络时,可以先是只镜像一个端口,对snort的性能观察一段时间,并根据需要进行调整。当snort的这个端口调整好了之后,可以切合实际的、循序渐进的增加别的端口,要注意的是,千万不能一下子增加过多的端口。用SPAN端口监控法将会降低本生交换设备的性能用SPAN端口会使交换设备的内存负担过重,从而使设备的性能下降。对流量的映是一个非常耗费内存的过程。
2.7、安装Snort
操作系统:Red Hat Enterprise Linux 5.5
数据库:MySQL:mysql-5.1
Web服务器:Apache:httpd-2.2
WEB语言:PHP:php-5.4
首先我们需要安装MySQL 、Apache(必须安装mod_ssl模块) 、PHP、并进行配置Apache,其详细安装过程可以参见《Linux企业应用案例精解》一书不在这里讲解。
更多精彩
赞助商链接