[[PC関連]] *Snort((www.snort.org))のインストール [#j6b67741] まず、ライブラリlibpcap((www.tcpdump.org))を入れる~ 特に問題になることはない ./configure make make install 同様にsnortもインストール ディレクトリを作り、snortがアクセスできるようにしておく -/etc/snort -/var/log/snort /etc/snortに ./rules ./etc/snort.conf ./etc/classification.config ./etc/reference.config をコピー *設定 [#k756518e] /etc/snort/snort.confを変更 とりあえず、設定ファイル位置を指定する var RULE_PATH /etc/snort/rules var HOME_NET any # すべてのIPアドレスを対象 # 監視対象のIPアドレスを指定する webサーバが動作している場合 var HTTP_SERVERS $HOME_NET # IPアドレスに変更する? var RULE_PATH /etc/snort/rules/ # Include all relevent rulesets here 以下のルールファイルを選択して不要なら#でコメントアウト |backdoor.rules|バックドア系| |ddos.rules|DDoS攻撃| |dns.rules|DNS| |ftp.rules|FTP| |icmp.rules|ICMP| |netbios.rules|NetBIOS| |rpc.rules|RPC| |scan.rules|スキャナツール| |shellcode.rules|シェルコード| |smtp.rules|SMTP不正中継| |virus.rules|ウイルス| |web-cgi.rules|CGI| |web-misc|その他WEBサーバ| |x11.rules|X Windows System| *実行 [#l1ae7b93] /etc/init.d/snort((添付ファイル参照:snortスクリプト)) ps -A でプロセスを確認し、nmapでスキャンしてログを確認する *ツール [#h06a8bb2] -[[Oinkmaster]] -[[SnortSnarf]] --htmlに編集して出力します -[[Snort+ACID]] *参考 [#xada7a46] -Nikkei Linux 2003.3 -[[@IT/Snortでつくる不正侵入検知システム(第6回 独自ルールファイルで細かなチューニング):http://www.atmarkit.co.jp/fsecurity/rensai/snort06/snort01.html]]