目录
Snort IDS
Snort搭建
安装web服务,方便设置sonrt后期访问
Mysql安装
PHP安装
安装 Snort
Snort配置
创建snort专用的用户和组
配置目录
配置规则
修改配置文件
规则编写
Snort IDS
Snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析和记录IP网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。此外,Snort是开源的入侵检测系统,并具有很好的扩展性和可移植性。
Snort搭建
环境:centos
安装web服务,方便设置sonrt后期访问
#apache
yum install httpd httpd-devel
#启动ahache
systemctl start httpd
#设置开机自启
systemctal enable httpd
#防火墙设置开启80端口
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
#查看80端口
yum install lsof
lsof -i:80
Mysql安装
yum install wget (若是自带wget就不必安装了)
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
#安装mysql-com/mysql-community-release-el7-5.noarch.rpm包
rpm -ivh mysql-community-release-el7-5.noarch.rpm
#安装完成后会在/etc/yum.repos.d/目录下新增mysql-community.repo 、mysql-community-source.repo 两个 yum 源文件。
#进入/etc/yum.repos.d/安装mysql
yum install mysql-server
#检查是否安装成功
rpm -qa | grep mysql
#启动mysql服务
systemctl start mysqld.service
systemctl enable mysqld.service
#mysql 安全设置
mysql_secure_installation
PHP安装
yum install php
yum install php-mysql
yum install -y php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap
##安装php后重启apache使其生效
systemctl restart httpd.service
#测试php,在网站根目录/var/www/html/下新建 index.php 文件
写入: <?php phpinfo(); ?>
访问ip/index.php ,出现phpinfo界面说明安装完成
安装 Snort
安装依赖
yum install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump
yum -y install epel-release
yum -y install nghttp2
安装daq和snort
记得下载到对应的目录下,别下乱了
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
下载好后进入目录解压编译
对daq进行编译
tar -xvzf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure
make
make install
回到上级目录下载LuaJIT库,并编译
cd ..
wget https://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz
#解压
tar -xvzf LuaJIT-2.1.0-beta3.tar.gz
#进入src目录
cd LuaJIT-2.1.0-beta3/src
make
#接着到src上层目录进行make install
cd ..
make install
下载 openssl依赖
yum install openssl
yum install openssl-devel
对snort进行编译
tar -xvzf snort-2.9.18.1.tar.gz
cd snort-2.9.18.1
./configure --enable-sourcefire
make
make install
查看安装的信息
snort -V
Snort配置
创建snort专用的用户和组
groupadd snort
useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
配置目录
IDS 模式运行时会创建一些目录,其中配置文件储存在 /etc/snort 中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中
#创建snort目录
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules
#创建储存规则文件
touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map
#创建日志目录
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs
#修改文件权限
chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules
#修改文件属主
chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules
#将配置文件从源文件复制到/etc/snort/中
cd /snort-2.9.18.1/etc/ # (进入snort安装目录,每个人可能不同)
cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort
cd /root/snort-2.9.18.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor
cp * /usr/local/lib/snort_dynamicpreprocessor/
配置规则
我们使用官方给的免费的社区规则,如果有需要的话可以选择官方的其他套餐
(社区套餐免费;注册即可领注册套餐;付费套餐)
https://www.snort.org/downloads/community/community-rules.tar.gz
解压,添加
tar -xvzf community-rules.tar.gz
cp community-rules/* /etc/snort/rules/
修改配置文件
vim /etc/snort/snort.conf
# 在45行附近 ipvar HOME_NET <any>修改为本机的内部网络
ipvar HOME_NET <ip>.1/24
通过 / 进行查询关键字即可找到位置
# 在104行附近 配置规则文件路径
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/prepproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists
var BLACK_LIST_PATH /etc/snort/rules/iplists
#在515行 output unified2:....... 之后添加
output unified2: filename snort.u2, limit 128
#546行,取消注释local.rules文件,后面的 include 文件均注释掉
include $RULE_PATH/local.rules
保存,退出
检查规则是否配置完成
snort -T -c /etc/snort/snort.conf
配置成功
规则编写
进入local.rules编写自定义规则
vim /etc/snort/rules/local.rules
此条规则的sid为1,任意ip的任意端口访问 192.168.171.130的80端口时
提示 "A test guys"
alert tcp any any -> 192.168.171.130 80 (msg:"A test guys";sid:1)
激活 snort 控制台检测流量,此处需要看一下自己的网卡,我的是ens32
snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens32
启动后尝试对目标进行访问
查看snort监听这边,已经成功匹配记录下来
规则详细使用
规则选项
msg - 在报警和包日志中打印一个消息。
logto - 把包记录到用户指定的文件中而不是记录到标准输出。
ttl - 检查ip头的ttl的值。
tos 检查IP头中TOS字段的值。
id - 检查ip头的分片id值。
ipoption 查看IP选项字段的特定编码。
fragbits 检查IP头的分段位。
dsize - 检查包的净荷尺寸的值 。
flags -检查tcp flags的值。
seq - 检查tcp顺序号的值。
ack - 检查tcp应答(acknowledgement)的值。
window 测试TCP窗口域的特殊值。
itype - 检查icmp type的值。
icode - 检查icmp code的值。
icmp_id - 检查ICMP ECHO ID的值。
icmp_seq - 检查ICMP ECHO 顺序号的值。
content - 在包的净荷中搜索指定的样式。
content-list 在数据包载荷中搜索一个模式集合。
offset - content选项的修饰符,设定开始搜索的位置 。
depth - content选项的修饰符,设定搜索的最大深度。
nocase - 指定对content字符串大小写不敏感。
session - 记录指定会话的应用层信息的内容。
rpc - 监视特定应用/进程调用的RPC服务。
resp - 主动反应(切断连接等)。
react - 响应动作(阻塞web站点)。
reference - 外部攻击参考ids。
sid - snort规则id。
rev - 规则版本号。
classtype - 规则类别标识。
priority - 规则优先级标识号。
uricontent - 在数据包的URI部分搜索一个内容。
tag - 规则的高级记录行为。
ip_proto - IP头的协议字段值。
sameip - 判定源IP和目的IP是否相等。
stateless - 忽略刘状态的有效性。
regex - 通配符模式匹配。
distance - < distance - 强迫关系模式匹配所跳过的距离。
within - 强迫关系模式匹配所在的范围。
byte_test - 数字模式匹配。
byte_jump - 数字模式测试和偏移量调整
content
查找匹配净荷中的内容,并触发响应,选项数据可以包含混合文本和二进制数据,二进制数据放在两个管道符号"||"之间,表示为字节码,需要通过十六进制的方式进行表示
alert tcp any any -> any 139 (content:"|5c 00|p|00|I|00|P|00|E|00 5c|";)
alcet tcp any any -> any 80 (content:!"GET";)
在请求中通过POST提交,包含字符 pass
提交时通过wireshark抓包,抓取载荷中
编写规则
tcp流中如果载荷中出现 ”70 61 73 73“ 则提示 msg 字符串中的内容
设置完后保存,重新刷新页面,snort这里并没有记录
当我们通过burp 提交带有pass字符时
snort这里进行报警
SQL注入测试
写一条又臭又长的规则,里面是sql关键字
nocase:与content配套使用,申明content大小写字符串不敏感
distance:与content配套使用,本次匹配内容与上次匹配payload内容的间距,同时确保不一样的content匹配内容存在匹配的顺序,distance生效的content为距离distance最近的左侧content
匹配上
PS:此篇笔记是根据师傅 Thgilil 文章中的内容一步步记录的,第一次接触这个东西,感谢师傅的文章让我学到很多
Thgilil 师傅的主页地址:Thgilil的博客_CSDN博客-渗透测试,环境搭建,蓝队领域博主