admin管理员组

文章数量:821300

入侵检测工具

snort(/)

官方文档: /

  • 安装
    yum install libdnet libdnet-devel -y
    yum install .0.6-1.centos7.x86_64.rpm
    yum install .9.12-1.centos7.x86_64.rpm

     注意:报错: error while loading shared libraries: libdnet.1: cannot open shared object file: No such file or directory* 解决方法: cd /usr/lib64ln -s libdnet.so.1.0.1 libdnet.1
    
  • 使用
    参数

     -v  打印详细内容-d  打印应用层信息-i	 网卡设备,多个设备用:分隔-e  打印第二层的(数据链路层)头信息-h  指定网段,例: 192.168.1.0/24 -b  以二进制的方式保存日志,tcpdump的格式-r  读取日志文件
    

    sniffer mode

     打印tcp/ip头部信息snort -v打印IP和TCP/UDP/ICMP头部信息snort -vd打印头部信息和数据snort -vde
    

    packet logger mode

     将数据保存到硬盘,下面的./log必须是目录snort -vde -l ./log读取指定log的icmp协议包信息			snort -dvr packet.log icmp
    

    network intrusion detection system mode

     	执行snort -c /etc/snort/snort.conf**报错**: ERROR: /etc/snort/snort.conf(253) Could not stat dynamic module path "/usr/local/lib/snort_dynamicrules": No such file or directory.解决: mkdir /usr/local/lib/snort_dynamicrules
    

    语法规则

     变量类型var  			变量portvar		端口范围ipvar        	ip范围注意: 当变量为端口和ip时, 最好分别使用portvar和ipvar, 目前两者均可使用,但后续版本可能会不支持ip和port为var类型 例子:var RULES_PATH rules/portvar MY_PORTS [22,80,1024:1050]ipvar MY_NET [1.1.1.1, 192.168.1.0/24, ![2.2.2.2,2.2.2.3]]ipvar EXAMPLE any说明: any表示所有, !表示取反
    

chkrootkit()

  1. 安装
    wget .tar.gz
    tar xf chkrootkit.tar.gz && make

  2. 使用
    ./chkrootkit
    如果机器被感染,则会出现“INFECTED”, 可以用grep过滤出来
    目录下还有其他检测脚本,自行探究

aide

  1. 安装
    yum install aide

psad()

本文标签: 入侵检测工具