Snort
提供: セキュリティ
スポンサーリンク
ソースファイア が開発する Snort とは、オープンソース のネットワーク侵入検知システム(IDS, Intrusion Detection System) とネットワーク侵入防止システム (IPS, Intrusion Prevention System) です。
読み方
- Snort
- すのーと
概要
Snort は、ネットワーク型のIDS (NIDS) です。 Snort は、GPL ライセンスです。
サポートするOS
インストール
設定
使い方
Snort が起動しない場合
自分の使用しているネットワークのIPアドレスを設定する必要があります。
% sudo /usr/local/etc/rc.d/snort onestart Starting snort. /usr/local/etc/rc.d/snort: WARNING: failed to start snort % sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.conf Running in IDS mode --== Initializing Snort ==-- Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/usr/local/etc/snort/snort.conf" ERROR: /usr/local/etc/snort/snort.conf(45) Failed to parse the IP address: [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]. Fatal Error, Quitting..
ルールがないと動かない
ERROR: /usr/local/etc/snort/./rules/local.rules(0) Unable to open rules file
sudo touch "/usr/local/etc/snort/./rules/local.rules"
% sudo local/etc/rbin/snort -c /usr/local/etc/snort/snort.conf Running in IDS mode --== Initializing Snort ==-- Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/usr/local/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80:90 311 383 591 593 631 901 1220 1414 1741 1830 2301 2381 2809 3037 3057 3128 3443 3702 4343 4848 5250 6080 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8222 8243 8280 8300 8500 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999:10000 11371 34443:34444 41080 50000 50002 55555 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ] PortVar 'SSH_PORTS' defined : [ 22 ] PortVar 'FTP_PORTS' defined : [ 21 2100 3535 ] PortVar 'SIP_PORTS' defined : [ 5060:5061 5600 ] PortVar 'FILE_DATA_PORTS' defined : [ 80:90 110 143 311 383 591 593 631 901 1220 1414 1741 1830 2301 2381 2809 3037 3057 3128 3443 3702 4343 4848 5250 6080 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8222 8243 8280 8300 8500 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999:10000 11371 34443:34444 41080 50000 50002 55555 ] PortVar 'GTP_PORTS' defined : [ 2123 2152 3386 ] Detection: Search-Method = AC-Full-Q Split Any/Any group = enabled Search-Method-Optimizations = enabled Maximum pattern length = 20 ERROR: /usr/local/etc/snort/./rules/local.rules(0) Unable to open rules file "/usr/local/etc/snort/./rules/local.rules": No such file or directory. Fatal Error, Quitting..
usbus0 でエラーになる
インターフェースを指定してない場合、自動的にインターフェースが選択されて、動作しませんでした。 FreeBSD の場合は、 rc.conf にsnort_interfaceでインターフェースを指定できます。
[ Port Based Pattern Matching Memory ] [ Number of patterns truncated to 20 bytes: 0 ] pcap DAQ configured to passive. Acquiring network traffic from "usbus0". Reload thread starting... Reload thread started, thread 0x28805500 (49289) ERROR: Cannot decode data link type 186 Fatal Error, Quitting..
snort コマンド には、-i でインターフェースが指定できます。
sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -i em0
関連項目
- Snort
- oinkmaster
- 侵入検知システム(IDS)
- 侵入防止システム(IPS)
- インストール
- 設定
- 使い方
ツイート
スポンサーリンク