[[PC関連]]
*Snort((www.snort.org))のインストール [#j6b67741]
まず、ライブラリlibpcap((www.tcpdump.org))を入れる~
特に問題になることはない
./configure
make
make install
同様にsnortもインストール
ディレクトリを作り、snortがアクセスできるようにしておく
-/etc/snort
-/var/log/snort
/etc/snortに
./rules
./etc/snort.conf
./etc/classification.config
./etc/reference.config
をコピー
*設定 [#k756518e]
/etc/snort/snort.confを変更
とりあえず、設定ファイル位置を指定する
var RULE_PATH /etc/snort/rules
var HOME_NET any # すべてのIPアドレスを対象
# 監視対象のIPアドレスを指定する
webサーバが動作している場合
var HTTP_SERVERS $HOME_NET # IPアドレスに変更する?
var RULE_PATH /etc/snort/rules/
# Include all relevent rulesets here 以下のルールファイルを選択して不要なら#でコメントアウト
|backdoor.rules|バックドア系|
|ddos.rules|DDoS攻撃|
|dns.rules|DNS|
|ftp.rules|FTP|
|icmp.rules|ICMP|
|netbios.rules|NetBIOS|
|rpc.rules|RPC|
|scan.rules|スキャナツール|
|shellcode.rules|シェルコード|
|smtp.rules|SMTP不正中継|
|virus.rules|ウイルス|
|web-cgi.rules|CGI|
|web-misc|その他WEBサーバ|
|x11.rules|X Windows System|
*実行 [#l1ae7b93]
/etc/init.d/snort((添付ファイル参照:snortスクリプト))
ps -A
でプロセスを確認し、nmapでスキャンしてログを確認する
*ツール [#h06a8bb2]
-[[Oinkmaster]]
-[[SnortSnarf]]
--htmlに編集して出力します
-[[Snort+ACID]]
*参考 [#xada7a46]
-Nikkei Linux 2003.3
-[[@IT/Snortでつくる不正侵入検知システム(第6回 独自ルールファイルで細かなチューニング):http://www.atmarkit.co.jp/fsecurity/rensai/snort06/snort01.html]]
