Linux下的IDS测试(1)

作者: 王维情由:51CTO.com　

阅读提醒：本文将以RedHat 7.3为例，报告一个齐备的入侵检测系统的调试和测试报告。

那时做这个实验是为了参预学院举行的弟子学术论坛,文章有点长,请提出你的珍贵意见。
Linux下的IDS测试实验
IDS（Instrusion Detection System），也便是大家日常常日所说的入侵检测系统，遍及的被运用于种种垄断系统的安然检测和安然防御，以及探测搜集受进击的水安然平静次数。为从此的搜集安然治理供给详确的材料和证据。
因为条件的限制，我们只可以采纳SNORT做为本次实验的IDS哄骗。
Snort的一些成果：
1.及时通讯分析和信息包记实
2.包装有用载荷反省
3.和谈分析和内容盘问婚配
4.探测缓冲溢出、奥妙端口扫描、CGI进击、SMB探测、垄断系统侵入实验
5.对系统日记、指定文件、Unix socket或经过Samba的WinPopus 举行及时报警
下面，我将以REDHAT 7.3为例，报告一个齐备的入侵检测系统的调试和测试报告
一.本机环境
OS：REDHAT 7.3
HardWare：CPU:P3 800 .256MB--SDRAM .20G/7200 --HARDDISC
IDS:SNORT-1.9 Libpcap
二．调试方式
起首将在本机环境中装配SNORT。SNORT是一个收费的IDS软件，我们此次将哄骗他来做系统检测
本机曾经取得了SNORT-1.9这个版本。
起首，为了更方便的定制前面的探测纪律和调试需求，我们将采纳手工编译源文件(scorcus)的方式装配。(版本阐发');：SNORT-1.9.0.tar.gz )
本地装配的权限必需是：ROOT。要是不是ROOT。则必需采纳SU指令，切换本钱地系统治理员|：ROOT
#su
#passwd:
当确定从ROOT上岸从此，我们必需将源文件释放出来，因为在哄骗snort的岁月，我们需求Libpcap这个包文件，所以在本机测试前，我们必需保证系统中有Libpcap。要是不看法探问探望localhost可否曾经有Libacap的话，可以用下面的指令盘问：

$ locate Libacap

要是出现:

/usr/lib/Libacap.1.9.0
/usr/lib/Libpcap.a

等提醒信息的话，证实本机曾经有了Libpcap.要是没有任何提醒的话，则阐发');还没有Libpcap库文件，需求装配。那么举行下列垄断：（我获取的Libpcap0.6.2.tar.gz）

cd /usr/src/ids
[root@kykin-L-linux ids]# tar –zxvf libpcap-0.6.2.tar.gz
[root@kykin-L-linux ids]# ls
libpcap-0.6.2 libpcap-0.6.2.tar.gz snort-1.9.0 snort-1.9.0.tar.gz

如许的垄断，将libpcap完全的释放到了本地文件夹中
延续：

[root@kykin-L-linux ids]# cd libpcap-0.6.2
[root@kykin-L-linux libpcap-0.6.2]# ls
aclocal.m4 configure.in lbl pcap-enet.c README.linux
bpf CREDITS libpcap.a pcap.h savefile.c
bpf_dump.c CVS LICENSE pcap-int.h savefile.o
bpf_dump.o etherent.c llc.h pcap-linux.c scanner.c
bpf_filter.c etherent.o Makefile pcap-linux.o scanner.l
bpf_filter.o ethertype.h Makefile.in pcap-namedb.h scanner.o
bpf_image.c FILES mkdep pcap-nit.c sll.h
bpf_image.o gencode.c nametoaddr.c pcap-nit.h SUNOS4
CHANGES gencode.h nametoaddr.o pcap-null.c TODO
config.cache gencode.o net pcap.o tokdefs.h
config.guess grammar.c nlpid.h pcap-pf.c VERSION
config.h grammar.o optimize.c pcap-pf.h version.c
config.h.in grammar.y optimize.o pcap-snit.c version.o
config.log inet.c pcap.3 pcap-snoop.c
config.status inet.o pcap-bpf.c ppp.h
config.sub INSTALL pcap.c README
configure install-sh pcap-dlpi.c README.aix

这些源文件也便是我们即将举行编译的Libpcap文件，延续：

[root@kykin-L-linuxlibpcap-0.6.2]# ./configure --prefix=/usr/local/libpcap-0.6.2

这句话的意思是：编译Libpcap文件到/usr/local/libpcap-0.6.2 目次）

[root@kykin-L-linuxlibpcap-0.6.2]# make
[root@kykin-L-linuxlibpcap-0.6.2]# makeinstall

实验完下面的，我们曾经齐备的将Libpcap装配到了本系统中
下面，我们将完成SNORT的装配和调试
（为了测试的需求，我们不需求把SNORT的日记文件写入本地MYSQL数据库，那么对MYSQL数据库的垄断步调暂时省略）

[root@kykin-L-linux ids]#tar –zxvf snort-1.9.0.tar.gz
[root@kykin-L-linux ids]# cd snort-1.9.0
[root@kykin-L-linux snort-1.9.0]# ls
acconfig.h config.h.in contrib Makefile snort.8
aclocal.m4 config.log COPYING Makefile.am src
ChangeLog config.status doc Makefile.in stamp-h
config.cache config.sub etc missing stamp-h.in
config.guess configure install-sh mkinstalldirs templates
config.h configure.in LICENSE rules
[root@kykin-L-linux snort-1.9.0]# ./configure --prefix=/usr/local/snort19
[root@kykin-L-linux snort-1.9.0]#make
[root@kykin-L-linux snort-1.9.0]#makeinstall