我為了好玩,之前在WinXp SP2上成功架設Snort
2.GIF)
一開始感覺還不錯,照著網路說明,改幾項設定檔中的設定值,整個系統就運作起來了
命令提示字元的介面 用網頁當作Report輸出介面 藉由一些輔助軟體,把攻擊事件很清楚的顯示出來
主要用Winpcap當封包攔截核心 用MySQL當事件紀錄系統 PHP當作顯示介面 還蠻穩定的 資源耗用也很低
直得一提的是規則的彈性 它可以直接搜尋封包中的關鍵字 還有很多旗標檢測 資料流過濾 等等
Snort官方有提供免費的規則包,不過可惜的是,大部分規則都是用在Server上,有很多關於Web Ftp SMTP方面的規則
所以要自己把這些規則修改掉
算是一個蠻完整的IDS入侵檢測系統
不過後來我放棄了
就因為它在規則設定中,我發現竟然缺少了規則關聯這個部分
利如某個攻擊事件是先發送有A特徵的封包 等電腦回應後 再發送有B特徵的封包 才算是完整的攻擊事件
但是Snort只能一條規則觸發一個事件,無法關聯起來,再觸發一個事件
像是Look n stop都有規則關聯功能(在Raw Rule設定中)
希望以後新版加入這個功能 這個功能要實現應該不會太難吧
如果論壇上有人對Snort有興趣,我再找個時間發一篇
教學吧
