注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

水滴石穿

破浪是阵风!

 
 
 

日志

 
 

snort部署ids入侵检测系统相关软件下载地址  

2009-07-24 13:47:26|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

用snort部署ids并不难

就是找那些软件麻烦,本人整理了一下,在此共享给大家

需要的软件

1.apache_2.2.11-win32-x86-no_ssl.msi(windows版本的apache Web服务器)

http://www.apache.org/

http://mirror.vmmatrix.net/apache/

http://apache.mirror.phpchina.com/httpd/binaries/win32/apache_2.2.8-win32-x86-no_ssl.msi

2.php-5.2.5-Win32.zip(windows版本的php脚本环境支持)

http://www.php.net/

http://cn.php.net/distributions/php-5.2.5-Win32.zip

相关的php补丁地址也在http://www.php.net

3.WinPcap_4_0_2.exe(windows版本的PCAP,网络数据包截取驱动程序)

http://www.winpcap.org/

http://winpcap.polito.it/

http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe

4.Snort_2_8_0_2_Installer.exe(在windows平台下的snort安装包,linux平台的到官网下载)

http://www.snort.org/dl/old/

http://www.snort.org/

http://www.snort.org/dl/binaries/win32/Snort_2_8_0_2_Installer.exe

5.mysql-5.0.51a-win32.zip(windows版本的mysql数据库服务器)

http://www.mysql.com/

http://dev.mysql.com/

http://mysql.mirror.kangaroot.net/Downloads/MySQL-5.0/mysql-5.0.51a-win32.zip

6.adodb504.tgz(ADOdb(Active Data Objects Data Base)库for PHP)

http://prdownloads.sourceforge.net/adodb/

http://adodb.sourceforge.net/

http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb465.zip

http://jaist.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz

7.jpgraph-2.3.4.tar.gz(php下面的图形库)

http://www.aditus.nu/jpgraph

http://hem.bredband.net/jpgraph2/jpgraph-2.3.tar.gz

8.acid-0.9.6b23.tar.gz(基于php的入侵检测数据库分析控制台)

http://www.cert.org/kb/acid

http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz

9.snortrules(snort检测规则库)

到snort官方网站下载,需要注册用户

也有不需注册的版本:http://www.snort.org/pub-bin/downloads.cgi

本人提供一个地址:

http://cert.sjtu.edu.cn/IDS/snortrules-snapshot-CURRENT.tar.gz(本文用此版本snortrules-snapshot-CURRENT_s.tar)

官方地址http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

10.IDScente下载地址

http://www.snort.org/dl/contrib/front_ends/ids_center/idscenter109b21.zip

http://www.snort.org/dl/contrib/front_ends/ids_center/idscenter.zip

http://www.snort.org/dl/contrib/front_ends/ids_center/idscenter11rc4.zip

snort中文手册

地址:http://man.lupaworld.com/content/network/snort/Snortman.htm

 

SNORT的更多辅助工具:
Snortsnarf http://www.silicondefense.com/software/snortsnarf
Snortplot.php http://www.snort.org/dl/contrib/data_analysis/snortplot.pl
Swatch http://acidlab.sourceforge.net
Demarc http://www.demarc.com
Razorback http://www.intersectalliance.com/projects/razorback/index.html
Incident.pl http://www.cse.fau.edu/~valankar/incident
Loghog http://sourceforge.net/project/loghog
Oinkmaster http://www.algonet.se/~nitzer/oinkmaster
Sneakyman http://sneak.sourceforge.net
Snortreport http://www.circurtsmaximus.com/download.html

 

Snort的命令行的通用形式为:
snort -[options]
各个参数功能如下:
-A:选择设置警报的模式为full、fast、 unsock和none。full模式是默认进报模式,它记录标准的alert模式到alert文件中;fast模式只记录时间戳、消息、IP地址、端口到文件中;unsock是发送到Unix socket;none模式是关闭报警。
-a:是显示ARP包。
-b:以Tcpdump格式记录LOG的信息包,所有信息包都被记录为二进制形式,用这个选项记录速度相对较快,因为它不需要把信息转化为文本的时间。
-c :使用配置文件,这个规则文件是告诉系统什么样的信息要LOG,或者要报警,或者通过。
-C:只用ASCII码来显示数据报文负载,不用十六进制。
-d:显示应用层数据。
-D:使snort以守护进程的形式运行,默认情况下警报将被发送到/var/log/snort.alert文件中去。
-e:显示并记录第二层信息包头的数据。
-F:从文件中读BPF过滤器(filters)。
-g :snort初始化后使用用户组标志(group ID),这种转换使得Snort放弃了在初始化必须使用root用户权限从而更安全。
-h :设置内网地址到,使用这个选项snort会用箭头的方式表示数据进出的方向。
-i :在网络接口上监听
-I :添加第一个网络接口名字到警报输出
-l :把日志信息记录到目录中去。
-L :设置二进制输出的文件名为。
-m :设置所有snort的输出文件的访问掩码为。
-M :发送WinPopup信息到包含文件中存在的工作站列表中去,这选项需要Samba的支持。
-n :是指定在处理个数据包后退出。
-N:关闭日志记录,但ALERT功能仍旧正常工作。
-o:改变规则应用到数据包上的顺序,正常情况下采用Alert->Pass->Log order,而采用此选项的顺序是Pass->Alert->Log order,其中Pass是那些允许通过的规则,ALERT是不允许通过的规则,LOG指日志记录。
-O:使用ASCII码输出模式时本地网IP地址被代替成非本地网IP 地址。
-p:关闭混杂(Promiscuous)嗅探方式,一般用来更安全的调试网络。
-P:设置snort的抓包截断长度。
-r :读取tcpdump格式的文件。
-s:把日志警报记录到syslog文件,在LINUX中警告信息会记录在/var/log/secure,在其他平台上将出现在/var/log/message中。
-S :设置变量n=v的值,用来在命令行中定义Snort rules文件中的变量,如你要在Snort rules文件中定义变量HOME_NET,你可以在命令行中给它预定义值。
-t:初始化后改变snort的根目录到目录。
-T:进入自检模式,snort将检查所有的命令行和规则文件是否正确。
-u:初始化后改变snort的用户ID到
-v:显示TCP/IP数据报头信息。
-V:显示Snort版本并退出。
-y:在记录的数据包信息的时间戳上加上年份。
-?:显示Snort简要的使用说明并退出。

  评论这张
 
阅读(681)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017