刘慈欣谈ChatGPT:人类的无能反而 刘慈欣谈ChatGPT:人类的无能反而
OpenAI 因使用“窃取”的个人数据 OpenAI 因使用“窃取”的个人数据
搜狐回应员工遭遇工资补助诈骗: 搜狐回应员工遭遇工资补助诈骗:

软件测试 > 测试开发技术 > 软件测试环境搭建 > 网络服务器 >

哈哈!真高兴!snort+acid终于搞定了!

发表于:2007-05-25来源:作者:点击数: 标签:
参考了很多的帖子,终于OK了,功能很强大,具体如图: yameng 回复于:2005-05-01 21:15:11 兄弟,介绍点经验吧. anstan 回复于:2005-05-02 13:34:52 能贴出你的安装笔记吗? squall1 回复于:2005-05-03 01:05:38 这两天忙串门了,OK,我写一下安装笔记。 [

参考了很多的帖子,终于OK了,功能很强大,具体如图:











 yameng 回复于:2005-05-01 21:15:11
兄弟,介绍点经验吧.

 anstan 回复于:2005-05-02 13:34:52
能贴出你的安装笔记吗?

 squall1 回复于:2005-05-03 01:05:38
这两天忙串门了,OK,我写一下安装笔记。

[b:1632e3a287]打造免费的网络入侵检测系统——“低成本 + 高效益 = 企业获利”
[/b:1632e3a287]

作者:CU-squall  
发表于:2005年5月3日 01:00  可以不经作者同意自由传播,请注明作者出处。
主页:http://www.grlinux.net  
E-mail:squall@grlinux.net

【简 介】
  Snort是一个轻便的网络入侵检测系统,可以完成实时流量分析和对网络上的IP包登录进行测试等功能,能完成协议分析,内容查找/匹配,能用来探测多种攻击和嗅探(如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等)。 

前提:Apache要支持PHP,这样我们才能在浏览器上通过acid分析日志,喜欢看文本日志的除外more /var/log/snort/alert

需要的软件包:
①httpd-2.0.52.tar.gz,http://httpd.apache.org/download.cgi
②mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz,
http://dev.mysql.com/get/Downloads/MySQL-4.1/mysql-standard-4.1.9-pc-linux-gnu-i686.tar.gz/from/pick
③php-4.3.10.tar.gz,http://www.php.net/downloads.php
④snort+acid+adodb+jpgraph+libpcap+pcre这些包我已经打包好放我网站里了,地址:
http://www.grlinux.net/squall/snort_soft.tar.bz2

apache+mysql+php这里不介绍了,不清楚的到我那拿PDF的吧。

(这里说明一下,最新的snort-2.3.3.tar.gz的contrib目录里很多重要文件都没有,所以按照参考教程又下了一个snort-2.0.0.tar.gz)

一、准备工作
# 把所有tar包放到/usr/local/src/下。
# tar zxvf libpcap-0.7.2.tar.gz
# cd libpcap-0.7.2
# ./configure
# make
# make install
# cd ..
# tar zxvf pcre-5.0.tar.gz
# ./configure
# make
# make install
# 我这里没有安装zlib,因为我的系统里有,如果你要安装新的zlib包,请先卸载自带的包。

二、安装snort
我们还是要编译snort-2.3.3.tar.gz,因为很多规则都是最新的,至于contrib目录里的文件我们用snort-2.0.0.tar.gz这个。

# tar zxvf snort-2.3.3.tar.gz
# tar zxvf snort-2.0.0.tar.gz
# cd snort-2.3.3
# ./configure --with-mysql=/usr/local/mysql
# make 
# make install
# cd rules 
# mkdir /etc/snort
# mkdir /var/log/snort
# cp * /etc/snort
# cd ../etc
# cp snort.conf /etc/snort
# cp *.config /etc/snort
# cd
# vi /etc/snort/snort.conf

# 把“# var HOME_NET 10.1.1.0/24”改成“var HOME_NET 192.168.0.0/24”你自己LAN内的地址,把前面的#号去掉。

# 把“var RULE_PATH ../rules”改成“var RULE_PATH /etc/snort”

# 把“# output database: log, mysql, user=root password=test dbname=db host=localhost”改成“output database: log, mysql, user=root password=123456 dbname=snort host=localhost”密码改成你自己的,把前面的#号去掉。

# 把“
# include $RULE_PATH/web-attacks.rules
# include $RULE_PATH/backdoor.rules
# include $RULE_PATH/shellcode.rules
# include $RULE_PATH/policy.rules
# include $RULE_PATH/porn.rules
# include $RULE_PATH/info.rules
# include $RULE_PATH/icmp-info.rules
 include $RULE_PATH/virus.rules
# include $RULE_PATH/chat.rules
# include $RULE_PATH/multimedia.rules
# include $RULE_PATH/p2p.rules”前面的#号删除。

# 修改完毕后,保存退出。

三、建立snort数据库
# /usr/local/mysql/bin/mysql -uroot -p123456
# create database snort;
# grant INSERT,SELECT on root.* to snort@localhost;
# exit
# 这时我们进入snort2.0的contrib的目录
# cd /usr/local/src/snort-2.0.0/contrib/
# /usr/local/mysql/bin/mysql -uroot -p123456 < create_mysql snort
# zcat snortdb-extra.gz | /usr/local/mysql/bin/mysql -p123456 snort
# 这里我加-uroot会报错,等半根烟的功夫。
# 进入mysql数据库,看看snort数据库中的表:
# /usr/local/mysql/bin/mysql -uroot -p123456
mysql>show databases;
+------------+
| Database
+------------+
| mysql
| snort
| test
+------------+
3 rows in set (0.00 sec)
mysql>use snort;
mysql>show tables; 将会有这些:
+------------------+
| Tables_in_snort |
+------------------+
| data
| detail
| encoding
| event
| flags
| icmphdr
| iphdr
| opt
| protocols
| reference
| reference_system
| schema
| sensor
| services
| sig_class
| sig_reference
| signature
| tcphdr
| udphdr
+------------------+
19 rows in set (0.00 sec)
mysql>exit

四、安装配置Acid
# 把acid-0.9.6b23.tar.gz、adodb330.tgz、jpgraph-1.11.tar.gz放到网页根目录,我这里是默认的。
# cp a*.* /usr/local/apache/htdocs
# cp jpgraph-1.11.tar.gz /usr/local/apache/htdocs
# tar zxvf adodb330.tgz
# tar zxvf jpgraph-1.11.tar.gz
# mv jpgraph-1.11 jpgraph
# tar zxvf acid-0.9.6b23.tar.gz
# cd acid
# vi acid_conf.php
# 把“$DBlib_path = "";”  改成“$DBlib_path = "/usr/local/apache/htdocs/adodb"”

# $alert_dbname   = "snort_log";  //改成snort
  $alert_host     = "localhost";
  $alert_port     = "";
  $alert_user     = "root";
  $alert_password = "mypassword"; //改成你的数据库密码

  /* Archive DB connection parameters */
  $archive_dbname   = "snort_archive";  //改成snort
  $archive_host     = "localhost";
  $archive_port     = "";
  $archive_user     = "root";
  $archive_password = "mypassword";”  //改成你的数据库密码

# 把“$ChartLib_path = "";”  改成“$ChartLib_path = "/usr/local/apache/htdocs/jpgraph/src";”

# 修改完毕后,保存退出。

五、写一个snort规则
# cd /usr/local/
# vi snort.sh
#!/bin/sh
snort -d -h 192.168.0.0/24 -l /var/log/snort -c /etc/snort/snort.conf -i eth0 -A full
# 保存退出。
# chmod 755 snort.sh

六,启动服务
# /usr/local/apache/bin/apachectl start
# cd /usr/local/mysql/
# vi mysql_start.sh
#!/bin/sh
/usr/local/mysql/bin/mysqld_safe --user=mysql &
# 保存退出。
# chmod 755 mysql_start.sh
# cp mysql_start.sh /usr/sbin/
# ./mysql_start.sh
# /usr/local/snort.sh
# service named start

七、进入web界面:
# http://yourhost/acid/acid_main.php,点"Setup Page"链接 ->Create Acid AG
# 访问http://yourhost/acid将会看到ACID界面。

八、测试IDS
# 利用nmap,nessus,CIS或者X-scan对系统进行扫描,产生告警纪录。
# http://yourhost/acid 察看纪录。
# 至此,一个功能强大的IDS配置完毕。各位可以利用web界面远程登陆,监控主机所处局域网,同时安装  phpMyAdmin或webmin对mysql数据库进行操控。

参考:《构建小型的入侵检测系统》以及bbs.chinaunix.net搜索引擎的帖子和《Snort(入侵检测系统)中文手册》

 squall1 回复于:2005-05-03 01:07:55
图1和2:











 squall1 回复于:2005-05-03 01:08:31
图3和4:











 norman_lu 回复于:2005-05-03 08:39:36
snort-2.3.3.tar.gz的create_mysql在schema里

 squall1 回复于:2005-05-03 21:41:55
[b:1dcbd75662][color=green:1dcbd75662]1.增加目录验证功能[/color:1dcbd75662][/b:1dcbd75662]
在httpd.conf尾部加:
[code:1:1dcbd75662]
<Directory /usr/local/apache/htdocs/acid>

Options Indexes FollowSymLinks 

allowoverride authconfig 

order allow,deny 

allow from all

</Directory>
[/code:1:1dcbd75662]

# touch /usr/bin/apache/users_passwd.txt
# cd /usr/bin/apache/
# bin/htpasswd -bc users_passwd.txt squall 123456
# bin/htpasswd -b users_passwd.txt sqlunix 123456

在acid目录里vi .htaccess
[code:1:1dcbd75662]
AuthName "please input your username and password:" 

AuthType basic 

AuthUserFile /usr/local/apache/users_passwd.txtrequire 

valid-user

[/code:1:1dcbd75662]






 squall1 回复于:2005-05-03 22:06:42
[b:f387fcdcbf][color=green:f387fcdcbf]2.增加snort页面启动管理功能[/color:f387fcdcbf][/b:f387fcdcbf]

SnortCenter是一个基于Web的snort探针和规则管理系统,用于远程修改snort探针的配置,起动、停止探针,编辑、分发snort特征码规则。

下载地址:
http://users.pandora.be/larc/download/

# cp snortcenter-v1.0-RC1.tar.gz /usr/local/apache/htdocs
# tar zxvf snortcenter-v1.0-RC1.tar.gz
# mv www sc
# vi sc/
# 改以下内容:
$DBlib_path = "/usr/local/apache/htdocs/adodb/";

$curl_path = "/usr/bin";

$DBtype = "mysql";

$DB_dbname   = "snortcenter";           # $DB_dbname   : MySQL database name of
SnortCenter DB
$DB_host     = "localhost";             # $DB_host     : host on which the DB is
 stored
$DB_user     = "root";                  # $DB_user     : login to the database w
ith this user
$DB_password = "123456";                        # $DB_password : password of the
 DB user
$DB_port     = "";                      # $DB_port     : port on which to access
 the DB (blank is default)
(数据库密码改成你自己的)
# 修改好后,保存退出。
# 然后创建snortcenter的数据库
# mysql -uroot -p123456
# create database snortcenter;
# quit;
# 在浏览器上键入http://192.168.0.11/sc,它会自动创建数据表,然后再次登入会让你输入用户名和密码,初始是admin,change.

# 然后我们安装snortcenter-agent-v1.0-RC1.tar.gz
# cp snortcenter-agent-v1.0-RC1.tar.gz /opt
# cd /opt
# tar zxvf snortcenter-agent-v1.0-RC1.tar.gz
# cd sensor
# ./setup.sh,回答几个问题即完成安装,默认端口2525。
# cp /etc/snort.conf /etc/snort.eth0.conf
# 具体如图:
# 如要卸载到/etc/snort/目录下,有一个uninstall文件,./uninstall即可卸载。











 squall1 回复于:2005-05-03 22:07:24
图3和4:











 bigbomb 回复于:2005-05-04 11:24:30
辛苦了,我也一直在玩这个东东,但是玩了几次都没有成功,所以放弃了,我看看我错在哪里吧!

 守夜人 回复于:2005-05-05 12:24:39
snort是好东东,就是太占资源了,得专门用一台服务器做才行

 squall1 回复于:2005-05-06 19:05:19
[quote:d462aa8a1d="守夜人"]snort是好东东,就是太占资源了,得专门用一台服务器做才行[/quote:d462aa8a1d]

恩,没错。我做了一下实验,上网5分钟里,IDS记录是179条。

虽然天网也能探测书攻击规则记录,但和snort比还差得很远。

P42.0+512M内存我觉得就够用了。

 duketang 回复于:2005-05-07 09:38:20
acid读不出数据~ 是哪个表中存放log? 好些没有写

 ipcfg 回复于:2005-05-07 21:43:47
在普通交换机环境下,snort可以工作吗

 squall1 回复于:2005-05-09 01:20:29
可以啊,SNORT可以探测出多个网段地址。

SNORT不等于SNIFFER。

 ipcfg 回复于:2005-05-09 09:43:34
可我看snort的说明讲,在建换机环境中,要求交换机有端口景象的功能,就是说可以把某些端口的数据流复制到一个指定的端口,在这个端口上安装snort,来进行入侵侦测,不知道你用的什么交换机,我们这所有的交换机都不支持,

 haoyufu 回复于:2005-05-09 15:57:51
上面的楼主请教你个问题我安照你上面做的已经做到最后了

就是
六,启动服务 
# /usr/local/apache/bin/apachectl start 
# cd /usr/local/mysql/ 
# vi mysql_start.sh 
#!/bin/sh 
/usr/local/mysql/bin/mysqld_safe --user=mysql & 
# 保存退出。 
# chmod 755 mysql_start.sh 
# cp mysql_start.sh /usr/sbin/ 
# ./mysql_start.sh 
# /usr/local/snort.sh 
# service named start 
当我执行到./mysql_start.sh的时候
系统告诉我,有一个进程已经存在
A mysqld process already exists
service named start也执行不了
当我打开web界面的时候反映

Error (p)connecting to DB : snort_log@localhost

Check the DB connection variables in acid_conf.php 

               = $alert_dbname   : MySQL database name where the alerts are stored 
               = $alert_host     : host where the database is stored
               = $alert_port     : port where the database is stored
               = $alert_user     : username into the database
               = $alert_password : password for the username
              
Database ERROR:Unknown database 'snort_log'



请教楼主给指点一下,谢谢
兄弟在这里多谢了

haoyufu@ioz.ac.cn

 squall1 回复于:2005-05-09 23:41:57
“当我执行到./mysql_start.sh的时候,系统告诉我,有一个进程已经存在,A mysqld process already exists” 
[color=green:f7336b7ab9]
啊,是的,得先重起一下数据库,可用命令/usr/local/mysql/bin/mysqladmin -uroot -p123456 shutdown
# cd /usr/local/mysql
# vi mysql_stop.sh
[code:1:f7336b7ab9]
#!/bin/sh
/usr/local/mysql/bin/mysqladmin -uroot -p123456 shutdown
[/code:1:f7336b7ab9]
# chmod 755 mysql_stop.sh
# cp mysql_stop.sh /usr/sbin/
[/color:f7336b7ab9]

“service named start也执行不了”
[color=green:f7336b7ab9]
我使用的是LINUX系统。
[/color:f7336b7ab9]

“当我打开web界面的时候反映

Error (p)connecting to DB : snort_log@localhost 

Check the DB connection variables in acid_conf.php 

              = $alert_dbname   : MySQL database name where the alerts are stored 
              = $alert_host     : host where the database is stored 
              = $alert_port     : port where the database is stored 
              = $alert_user     : username into the database 
              = $alert_password : password for the username 
              
Database ERROR:Unknown database 'snort_log' ”
[color=green:f7336b7ab9]
你看这条信息,Database ERROR:Unknown database 'snort_log' ,你的当前数据库里没有snort_log,你要更改acid_conf.php。
[code:1:f7336b7ab9]
# $alert_dbname   = "snort_log";  //改成snort
  $alert_host     = "localhost";
  $alert_port     = "";
  $alert_user     = "root";
  $alert_password = "mypassword"; //改成你的数据库密码

  /* Archive DB connection parameters */
  $archive_dbname   = "snort_archive";  //改成snort
  $archive_host     = "localhost";
  $archive_port     = "";
  $archive_user     = "root";
  $archive_password = "mypassword";”  //改成你的数据库密码
[/code:1:f7336b7ab9]
[/color:f7336b7ab9]

 haoyufu 回复于:2005-05-10 09:24:38
谢谢上面的楼主
我已经解决你的问题
我在北京
你呢???我qq:34662006
有时间常联系msn:haoyufu@hotmail.com
mobiletel:13381466474 or 01081885492

我叫郝玉富
你呢怎么称呼

 squall1 回复于:2005-05-10 14:00:24
我也在北京,短信给你。

 haoyufu 回复于:2005-05-10 14:19:24
上面的楼主还得打扰你一下

我上午的acid已经成功了

我接着往下配置的时候

2.增加snort页面启动管理功能 

SnortCenter是一个基于Web的snort探针和规则管理系统,用于远程修改snort探针的配置,起动、停止探针,编辑、分发snort特征码规则。 

下载地址: 
http://users.pandora.be/larc/download/ 

# cp snortcenter-v1.0-RC1.tar.gz /usr/local/apache/htdocs 
# tar zxvf snortcenter-v1.0-RC1.tar.gz 
# mv www sc 
# vi sc/config.php 
# 改以下内容: 
$DBlib_path = "/usr/local/apache/htdocs/adodb/"; 

$curl_path = "/usr/bin"; 

$DBtype = "mysql"; 

$DB_dbname   = "snortcenter";           # $DB_dbname   : MySQL database name of 
SnortCenter DB 
$DB_host     = "localhost";             # $DB_host     : host on which the DB is 
stored 
$DB_user     = "root";                  # $DB_user     : login to the database w 
ith this user 
$DB_password = "123456";                        # $DB_password : password of the 
DB user 
$DB_port     = "";                      # $DB_port     : port on which to access 
the DB (blank is default) 
(数据库密码改成你自己的) 
# 修改好后,保存退出。 
# 然后创建snortcenter的数据库 
# mysql -uroot -p123456 
# create database snortcenter; 
# quit; 
# 在浏览器上键入http://192.168.0.11/sc,它会自动创建数据表,然后再次登入会让你输入用户名和密码,初始是admin,change
这一步的时候

我打开ie出现下面的错误
Error loading the DB Abstraction library: from "/usr/local/apache/htodcs/adodb/adodb.inc.php"

Check the DB abstraction library variable $DBlib_path in acid_conf.php 

The underlying database library currently used is ADODB, that can be downloaded at http://php.weblogs.com/adodb

我已经检查过了我的acid_config.php 了已经改过了

怎么还是不成功呢

haoyufu@ioz.ac.cn

 ipcfg 回复于:2005-05-10 15:18:14
高兴!!!我在我的vm虚拟机上也安装成功了,就是生成图形报告的时候没有2005 年

 ipcfg 回复于:2005-05-10 15:45:05
稍稍修改了一下。把原来的php文件中的1999-2004改称了2005-2010就可以了,

 haoyufu 回复于:2005-05-10 15:53:26
上面的兄弟增加snort页面启动管理功能这个配置成功了吗

请教下问题

 haoyufu 回复于:2005-05-10 15:55:53
snortcenter你配置成功了没

 ipcfg 回复于:2005-05-10 17:07:11
没有加那个功能,是因为觉得加了也不知道怎莫用,等以后知识丰富付了,再加布迟

 haoyufu 回复于:2005-05-10 17:19:38
不过人家都成功了啊 

呵呵:)
我们也得用呀

 squall1 回复于:2005-05-10 18:53:56
那个页面管理你要不要都两可,因为系统要单独开设一个默认端口2525给SnortCenter,系统多一个端口就带来安全隐患,当然你要追求完美还是可以一试的。

“Error loading the DB Abstraction library: from "/usr/local/apache/htodcs/adodb/adodb.inc.php" ”

[color=green:f138be75aa]你确定一下你的Apache路径正确否?adodb,sc,acid,jpgraph都在同一个目录。[/color:f138be75aa]






 haoyufu 回复于:2005-05-11 09:04:03
我这个和你的是一样的

已经都确认了
都在一个目录下面

 haoyufu 回复于:2005-05-11 11:07:48
呵呵兄弟在问下

我今天用nmap扫描了我的机器自己开放的端口很多 

我用nmap -sS -O 10.0.2.30
or nmap -v 10.0.2.30
扫描完了
我进配置的acid里面去看
tcp ,udp ,其他的还是0%呀
没什么反映,还有我的nmap是装到我的linux系统上了

呵呵在帮我下好多问题
有机会请你吃饭,我收到你的短信了

 ipcfg 回复于:2005-05-11 17:16:08
请问楼主:这个问题你是怎么解决的。
snort纪录的太多了,连正常上网也记录,都发放到了"unclassified   "类,既然是入侵检测,正常访问就不应该记录阿,snort可以设置吗??

 squall1 回复于:2005-05-11 18:27:11
这个就不清楚了,不行你就换个2.0的吧。

啊,你那台IDS别再做别的了,不然他当然会把你的上网都会记录下来,你单独架一台机子,就用来做入侵检测用。不然你的数据库会爆了。 :mrgreen:

 peng 回复于:2005-05-11 18:58:14
不错,可以我有了硬件的ids,不然真做个玩玩。。

 haoyufu 回复于:2005-05-11 22:15:00
上面的楼主我有问题了

帮我一下
你的手机短信我弄丢了

在个好吗
我的13381466474 or 81885492在北京

我今天想看下自己都开了什么端口就nmap 10.0.2.30
 、然后呢我就来勤快进了进行setup
然后把那里面的开机启动的服务呢

把前面的*去掉最后就剩下pop3,vsftp,telnet.mysql,imap
我把network前面的*都去掉了

最后呢重新启动系统到x-windows那个界面呢
就屏幕一闪一闪的
不让输入root
password 等

没办法启动系统了

你们说该怎么办呀
给个指教吧

 ipcfg 回复于:2005-05-12 09:48:59
[quote:f73c95b9b9="squall1"]这个就不清楚了,不行你就换个2.0的吧。

啊,你那台IDS别再做别的了,不然他当然会把你的上网都会记录下来,你单独架一台机子,就用来做入侵检测用。不然你的数据库会爆了。 :mrgreen:[/quote:f73c95b9b9]
有没有好的资料推荐一下阿,这样让snort只对非法行为警报呢,我有一个linux的mrtg,读取这台机器的snmtp信息,全都当成警报了,
注释:我的这台机器是win2003,在上边安装了vmware,snort在虚拟机上跑。我的msn:ipcfg@hotmail.com,希望一起交流

 squall1 回复于:2005-05-12 12:50:22
我是参考的《Snort中文手册》
http://www.linuxfans.org/nuke/modules.php?name=News&file=article&op=view&sid=2592

 haoyufu 回复于:2005-05-12 12:50:40
我想呵呵 squall的网站真不错呀

我刚看过
呵呵http://www.grlinux.net
呵呵

牛..........
呵呵

 haoyufu 回复于:2005-05-12 13:51:27
我今天用nmap扫描了我的机器自己开放的端口很多 

我用nmap -sS -O 10.0.2.30 
or nmap -v 10.0.2.30 
扫描完了 
我进配置的acid里面去看 
tcp ,udp ,其他的还是0%呀 
没什么反映,还有我的nmap是装到我的linux系统上了

 haoyufu 回复于:2005-05-12 15:25:30
我今天用nmap扫描了我的机器自己开放的端口很多 

我用nmap -sS -O 10.0.2.30 
or nmap -v 10.0.2.30 
扫描完了 
我进配置的acid里面去看 
tcp ,udp ,其他的还是0%呀 
没什么反映,还有我的nmap是装到我的linux系统上了 



还有我的短口太多了

我想屏蔽smux,smtp,x11怎么屏蔽呢
在这里请教各位了






 ipcfg 回复于:2005-05-13 15:24:53
开始的时候我也遇到了这个问题,安装正常,就是不显示,察看mysql数据库,也没有内容,说明snort就没有记录,诊断是现在shell下试一试,看有没有问题,snort -c /etc/snort/snort.conf 看看报什么错误,照着错误修正就可以了,我的胆识报的事少一个文件,拷贝过去就可以了,有的文件可能要从低版本中找

 haoyufu 回复于:2005-05-15 19:27:09
是呀我这个也缺少一个文件
楼主是哪个文件呀
snort-2.0.0 or snort-2.3.3它两差哪个文件呀
snort: error while loading shared libraries: libmysqlclient.so.14: cannot open sh
ared object file: No such file or directory

 haoyufu 回复于:2005-05-15 19:32:33
是把哪个文件拷贝到哪个位置呀
请给下指点

谢谢兄弟

 ipcfg 回复于:2005-05-16 13:10:11
你的问题好像是mysql的问题,你看看你的snort.conf是不是指定的有问题

 haoyufu 回复于:2005-05-16 22:43:49
没有问题呀

楼主急死了

都快一周了

 haoyufu 回复于:2005-05-17 10:09:53
我现在点sc这个文件夹显示如下:

Error loading the DB Abstraction library: from 

"/usr/local/apache/htodcs/adodb/adodb.inc.php"

Check the DB abstraction library variable $DBlib_path in acid_conf.php 

The underlying database library currently used is ADODB, that can be downloaded at 

http://php.weblogs.com/adodb

我点acid的话显示的是正常页面

不过用nmap 扫描的话什么反应也没有....郁闷中........
等带高手解决

 yqzzcj 回复于:2005-05-18 09:39:26
楼主 我安您所写安装完成了入侵系统检测  snort能获得数据 log日志中有记录, 但是snort 并没有把数据写入 mysql  

真不知啥办

请各位指教 !

 haoyufu 回复于:2005-05-19 08:52:24
这个帖子高手呢

我问了好多问题
怎么没人回答呀

这里有配置成功的吗
haoyufu@ioz.ac.cn

 yameng 回复于:2005-05-19 09:38:41
good!!

 ipcfg 回复于:2005-05-24 13:31:05
我是在vmware上安装的,参照文档:
http://www.antpower.org/Folder_AntTopic/AntFolder_Network_Security/AntFolder_IDSIPS/Folder_TechArticle/AntFile.2004-08-14.1458/view
英文的很详细,从linux 9.0 的安装开始讲起,

 司令lovelinux 回复于:2005-05-25 16:03:34
我的snortcenter 配置完了,怎么显示:
Error - Access denied for 192.168.10.99?

 squall1 回复于:2005-05-26 16:58:32
删除Mysql空帐号

# mysql -uroot -p123456
# use mysql;
# delete from user where user="";
# delete from db where user="";
# exit

 zhulinping 回复于:2005-05-27 10:27:21
我使用这个规则的时候提示错误:
ERROR:unknown preprocessor "http_decode"
Fatal Error,Quitting..

snort -d -h 192.168.0.0/24 -l /var/log/snort -c /etc/snort/snort.conf -i eth0 -A full

 蒙哥 回复于:2005-06-06 15:37:17
我这里的错误是这样的:apache 启动后,进入http://192.168.0.4/acid/acid_main.php
结果只显示
Analysis Console for Intrusion Databases
这几个字,其他一片空白,不知怎么回事,请指教。

 haoyufu 回复于:2005-06-07 11:00:15
我的问题都n个月了
到现在还没解决

就是nmap 10.0.2.30

打开http://10.0.2.30/acid/acid_main.php
里面什么反映也没有

不象楼主说的那样

 我爱臭豆腐 回复于:2005-06-07 13:17:06
如果是记录的访问量大的话一般的机器就不行了.需要很长时间才能够统计出来.而且snort的rules 也开始收费了.一好的ids的rules和速度也是很关键的.

 oflyhigh 回复于:2005-06-09 14:52:00
在WINDOWS下试验了一下
成功了

 guitarbug 回复于:2005-06-17 17:45:29
在windows环境下,
zcat snortdb-extra.gz | /usr/local/mysql/bin/mysql -p123456 snort
这个怎么执行?
我用phpmyadmin导入,不成功? :?: 
请指点~

 wangf51 回复于:2005-07-28 22:47:08
我在win32模式下一直不行的阿,怎么办,恼了~~~,又没有相关的群阿,大家交流一下,也互相学习呢?

 arrlon 回复于:2005-08-03 13:08:27
帮忙啊!帮忙啊!!!!!!
打开http://10.0.2.30/acid/acid_main.php 
里面什么反映也没有 

不象楼主说的那样,我的显示为0%

 haoyufu 回复于:2005-08-03 15:01:40
楼主帮下忙呀

 fvane 回复于:2005-08-07 11:29:09
[quote:956c1f9eca="haoyufu"]我的问题都n个月了
到现在还没解决

就是nmap 10.0.2.30

打开http://10.0.2.30/acid/acid_main.php
里面什么反映也没有

不象楼主说的那样[/quote:956c1f9eca]

楼主比较忙,不知你这个问题解决没有.
你可以进入MySQL看看数据表里有没有内容:
SQL>use snort;
SQL>select * from tcphdr;
如果为空的话说明没有Snort数据写入到数据库.
你可以有X-scan扫描你的电脑

 fvane 回复于:2005-08-07 11:32:44
[quote:ae665650f6="haoyufu"]是呀我这个也缺少一个文件
楼主是哪个文件呀
snort-2.0.0 or snort-2.3.3它两差哪个文件呀
snort: error while loading shared libraries: libmysqlclient.so.14: cannot open sh
ared object file: No such fil..........[/quote:ae665650f6]

这个问题解决方法是从mysql的lib目录下复制libmysqlclient.so.14到/usr/lib即可.
你可以键入ldconfig看看系统lib的目录在哪里.
输入updatedb
然后用locate libmysqlclient.so.14找到此文件位置,复制至系统lib目录.因为snort无法从lib中找到这个文件.

 haoyufu 回复于:2005-08-07 11:42:53
楼上谢谢。我实验下

希望共同交流

 fvane 回复于:2005-08-07 11:52:40
楼主可能比较忙,因为本人最近也在安装测试Snort,所以就以上几个问题逐一回答,楼主看看对不对.

1.如果在acid中看到不数据是因为Snort资料没有写入到mysql中.大家可以进入mysql中查询有没有数据.
和 mysql -uroot -p123456进入mysql
MYSQL>use snort;
MYSQL>select * from tcphdr;
MYSQL>select * from udphdr;
是否有显示内容,如没有表示snort未有数据写入mysql,检测配置,如有数据而acid显示为0,则检查acid的配置信息.

2.建议大家看一看mysql的正确安装位置,楼主的mysql安装是在/usr/local/mysql,如果大家使用 ./configure   && make  && make install 安装mysql的话是没有/usr/local/mysql目录的,而是在 /usr/local下,所以在编译 snort时用 --with-mysql=/usr/local

3.我是用snort_acid_rh9.pdf(Snort Install Manual)文件安装成功的,这个好像是官方文档,安装方法说得很详细(英文).大家可以去搜索此文件,如果没有可以留下e-mail我传给你们.

4.Snort数据无法定入mysql主要是因为创建资料库时的操作问题.我是用以下方法:(我的mysql安装在/opt/mysql下)
#/opt/apache/share/mysql/mysql.server start
#/opt/apache/bin/mysql -uroot -p123456
MYSQL>SET PASSWORD FOR root@localhost=PASSWORD('123456');
MYSQL>create database snort;
MYSQL>grant INSERT,SELECT on root.* to snort@localhost;
MYSQL>SET PASSWORD FOR snort@localhost=PASSWORD('123456');
MYSQL>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost;
MYSQL>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort*. to snort;
MYSQL>exit

记得在安装snort之前创建snort帐号:
#groupadd snort
#useradd -g snort snort

这样的话,在楼主的例子里作如下更改:
# $alert_dbname   = "snort_log";   
 $alert_host     = "localhost"; 
 $alert_port     = ""; 
 $alert_user     = "snort";               //改成snort
 $alert_password = "123456"; 

 /* Archive DB connection parameters */ 
 $archive_dbname   = "snort";   
 $archive_host     = "localhost"; 
 $archive_port     = ""; 
 $archive_user     = "snort";            //改成snort
 $archive_password = "123456";”

呵呵....

 haoyufu 回复于:2005-08-07 12:17:07
楼上写的不错

有时间交流

呵呵现在好多写毕业论文的要这个snort的


我也是在给人家写

不过得调试成功

 squall1 回复于:2005-08-09 19:11:29
我文笔有些差,有些问题解释不是很清楚,这里也有一篇SNORT安装文档。大家可参考这个。[url]http://www.linuxsir.org/bbs/showthread.php?t=212462[/url]

 squall1 回复于:2005-08-09 19:33:23
[b:b6d08b847a]2005.8.9.使用Stunnel增加MYSQL隧道加密明文会话[/b:b6d08b847a]

SSL协议(安全套接字协议)是为了弥补一些已被广泛应用的明文协议(如www)的安全缺陷而设计的加密通讯协议,它可以用服务器的安全证书对通讯内容进行加密,以防止黑客中途截听通讯内容。

加密软体:Stunnel 
官方网站:www.stunnel.org 
官方介绍: 
Stunnel is a program that allows you to encrypt arbitrary TCP connections inside SSL (Secure Sockets Layer) available on both Unix and Windows. Stunnel can allow you to secure non-SSL aware daemons and protocols (like POP, IMAP, LDAP, etc) by having Stunnel provide the encryption, requiring no changes to the daemon's code. The Stunnel source code is not a complete product -- you still require a functioning SSL library such as OpenSSL or SSLeay in order to compile stunnel. This means that stunnel can support whatever (and only) that which your SSL library can, without making any changes in the Stunnel code. 
译:Stunnel是一个允许你对任意的TCP连接会话进行加密的自由软体,可以用到Unix和Windows系统上。Stunnel可以允许你通过Stunnel提供的自带加密功能保护POP, IMAP, LDAP等协议进程,并且不需要改变进程的编码。Stunnel开源代码是一个不完整的产品 ——你仍然需要一个类似OpenSSL or SSLeay加密功能的软体,以便编译stunnel。这就意味着在没有改变Stunnel源码的同时,Stunnel可以支持你能提供的任何SSL二进制软体。 

软体:①stunnel-4.10.tar.gz
[url]http://www.stunnel.org/download/stunnel/src/stunnel-4.10.tar.gz[/url]

# cp stunnel*.* /usr/local/src/ 
# tar zxvf stunnel-4.10.tar.gz 
# cd stunnel-4.10 
# ./configure --prefix=/usr/local/stunnel 
# make 
# make install(这里会生成证书,具体如图:)

# cd /usr/local/stunnel/etc/stunnel 
# cp stunnel.conf-sample stunnel.conf 
# vi stunnel.conf
[code:1:b6d08b847a]cert = /usr/local/stunnel/etc/stunnel/mail.pem [/code:1:b6d08b847a]
# 改成/usr/local/stunnel/etc/stunnel/stunnel.pem
[code:1:b6d08b847a]#client = yes[/code:1:b6d08b847a]
# 去掉前面的#号。 
[code:1:b6d08b847a][mysql] 
accept  = 3307 
connect = 127.0.0.1:3306 [/code:1:b6d08b847a]
# 保存退出。
# groupadd stunnel 
# useradd stunnel -d /home/stunnel -g stunnel -s /bin/nologin 
# chown stunnel:stunnel /usr/local/stunnel/etc/stunnel/stunnel.pem 
# mkdir /var/tmp/stunnel 
# chown stunnel:stunnel /var/tmp/stunnel 

客户机设置
[code:1:b6d08b847a][mysql] 
accept  = 127.0.0.1:3306 
connect = 服务器IP:3307 [/code:1:b6d08b847a]

主辅机均启动stunnel,客户机连接3307端口会自动转向服务器上的3306端口。
[/code]






 小虎牙 回复于:2005-08-26 12:37:16
楼主我有一个问题想请教一下

按你的方法我的snort都有安装成功所有的界面也都有了

基本上算成功了可是当我用X-can扫描的时候在/var/log/snort就有看到很

多以IP地址的文件夹我想可能这就是我们所要的

但是我用IE http://Ip/acid防问的时候里面还和当初安装的时候一样

跟本什么内容也没有我不知道这是为什么?

我想这个界面是不是就是读取log里面所记下的内容呢?

为什么我的就没有显示呢?

 fyf130 回复于:2005-09-01 10:09:32
SNORT不一定非得配数据库,直接记录到文件中就可以;另外记录的内容也不一定非用默认的规则,可以配置rules/目录下的各文件,在文件中可以指定任意的规则,如:alert\log\pass\等;数据源与目的都是可选的!

 zaotingting 回复于:2005-09-12 08:40:27
C:\mysql\bin>mysql -p < c:\snort\contrib\create_mysql;
Enter password: ******
ERROR 1045: Access denied for user: 'ODBC@localhost' (Using password: YES)
我输入密码后就出现错误,请问是什么原因啊

 我爱臭豆腐 回复于:2005-09-12 08:45:58
你的用户名和口令有问题.

 zaotingting 回复于:2005-09-12 09:08:53
我现在就是在windows下安装snort,可是就是不能成功。怎么在mysql里建立snort表啊?

 zaotingting 回复于:2005-09-12 09:10:31
我也是这个问题,不知怎么导入snort表,请问你是否解决了?我的qq:215551479,可否交流一下。

原文转自:http://www.ltesting.net

相关文章

软件测试沙龙 More>>

新浪微博More>>

...

热门标签