Snort安装教程 & DARPA1999、DARPA2000数

2020-01-04  本文已影响0人  龙_猫

参考:

  因为毕业论文涉及到网络安全,需要对DARPA 1999这类数据进行分析,过程中发现Snort安装、使用相关的中文教程实在罕见,且安装配置过程较复杂,自己也踩了不少坑,为了以后方便,在这里对国外的一些实用教程进行汇总。

  如果觉得文字不好理解可直接看参考中的视频教程。

1. SnortWindows上的安装过程

  这里仅介绍在Windows上的安装教程,centOS教程在参考中列出了

1.1 下载

官网下载两个文件:

1.2 安装

  安装snort后,将snortrules-snapshot-xxxxx.tar.gz中的rulespreproc_rules文件夹解压并覆盖到snort安装根目录

1.3 编辑snort.conf文件

  由于简书不支持diff语法,不在这里贴出修改后的文件了,请移步github参考diff示例Snort\etc\snort.conf进行修改。

1.4 规则文件

  Snort官网免费提供的规则文件对于DARPA2000这类比较久远的数据集而言十分鸡肋(比如针对DDoS的规则文件直接就是一个空文件,而DARPA2000的主要内容就是DDoS)。原因很简单,时代变了,很多在十几年前有效的规则不再适用于当前的网络环境,所以被删除了。即使你去使用付费订阅的规则集也未必对DARPA数据集有效。
  snort在版本迭代过程中删除的所有规则都可以在官网规则中的deleted.rules里面找到。但可惜的是,我找不到一个完整的修改日志,也就是说无法通过deleted.rules将规则还原到指定年代。我们用DARPA2000做研究又必须依赖那些比较老的规则集,而Snort官网已经不再提供这些老版本的下载途径。下面给出我自己搜集的Snort老版本规则以及一些第三方规则资源。

snort老版本规则:
链接: https://pan.baidu.com/s/1IhN7fxq6Zjo0qGRKU2Urvw 提取码: qw1q

关于DARPA2000

  针对DARPA2000需要特别说明一下,这个数据集的DDoS攻击是内网主机被黑客控制向外网地址发出攻击,并且攻击过程中会随机地生成IP地址来隐藏源IP。要想检测到这个DDoS攻击,规则中的ip和端口必须是any any -> any any,而不是$EXTERNAL_NET any -> $HOME_NET any

1.5 修改告警存储方式

  默认存储的xxx.ids文件便于阅读,但不便于用程序分析。通过修改snort.conf可以将Snort告警的存储格式修改为csv,添加如下配置:

output alert_csv: alert.csv default

详细配置参数说明参照文档

需要注意:当配置了csv输出时,不会输出威胁等级。目前没有找到解决方法

2. DARPA数据处理

2.1 \color{red}{错误}示例

  在很多文献中,使用Snort进行实验的步骤是

  1. 以IDS模式运行Snort:
  snort -x 100 -i ens33 -c D:\Snort\etc\snort.conf -l D:\Snort\log -A full
  1. 使用tcpreplay对数据进行重放

  2. Snort检测到攻击并生成日志

  3. 由于在重播时使用了倍速重播,还要解决时间间隔与原始数据不一致的问题。

2.2 \color{green}{正确}的做法

  上面这种做法在你确实需要仿真环境做其它一些事情的时候,可能是一个很好的方案。但大多数情况下我们只是想要获取Snort的告警日志,其实用下面这一行代码就够了:

  snort -c D:\Snort\etc\snort.conf -r D:\data\DARPA1999\inside.tcpdump -l D:\Snort\log

  Snort会自动地处理所有数据并生成告警日志,这种方式可以节省很多时间。生成的日志文件位于D:\Snort\log,且时间与inside.tcpdump完全一致。

上一篇 下一篇

猜你喜欢

热点阅读