九.使用端口扫描软件扫描 安装有snort 的server
查看监控情况。
排错。如果不安装 snort-mysql
rpm -ivh snort-mysql-2.8.0.1-1.RH5.i386.rpm
# snort -dev -c /etc/snort/snort.conf &>/dev/null & 会自动exit
[root@localhost ~]# jobs
[1]+ Exit 1 snort -dev -c /etc/snort/snort.conf >&/dev/null
基础
变量定义 var ipvar portvar
插件 config
预处理 preprocess
规则 处理方法 (pass 不做任何处理 alert报警 log记录 activate 如果符合,就进入下一条比较 dynamic保持空闲,一直到被一条active 规则激活)
规则头 处理方法 协议 ip地址 端口 传播方向 ip地址 端口
协议 :ip icmp tcp udp
端口 如果协议没有端口 (ip icmp )则为any
传播方向 -> <- <>
规则内容
sid 唯一编号 1000000以上的用户可以使用一下的snort系统使用
classtype 入侵类型 在classification.config文件中有定义,此处只需要类型的名称即可
priority 优先级
gid 一个数字表示,产生这条规则的snort部件编号
msg:一个文本字符串,如果是报警规则,这个就是报