new一個物件的過程和clone一個物件的區別?
1)入侵檢測系統
入侵檢測系統(intrusion detection system,簡稱“IDS”)是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全裝置。它與其他網路安全裝置的不同之處便在於,IDS是一種積極主動的安全防護技術。
2)入侵檢測系統的分類及部署
IDS是計算機或網路的監視系統,它通過實時監視系統,一旦發現異常情況就發出警告。IDS入侵檢測系統以資訊來源的不同和檢測方法的差異分為幾類:根據資訊來源可分為基於主機IDS和基於網路的IDS,根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。
3)不同於防火牆,IDS入侵檢測系統是一個監聽裝置,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
安裝snort入侵檢測系統
1、登入ids系統
登入實驗機後,開啟桌面上的putty程式,輸入10.1.1.106,再點選Open.。
輸入使用者名稱:root,密碼:bjhit
2、安裝LAMP環境(省略)
在putty裡面輸入如下命令進行安裝
apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb
注意:因為下載時間太長,會耽誤過多的時間,所以提前已經安裝好了。
這裡給mysql的root使用者,設定的密碼是123456。
3、安裝snort軟體包(已安裝)
#apt-get install snort-mysql
在安裝過程中會提示下圖所示資訊。(這裡是填寫監聽的網段)
在安裝過程中會提示下圖所示資訊。(這裡是填寫監聽的網段)
4、建立snortdb資料庫
root@IDS:~# mysql -u root -p123456 #登入mysql
進入資料庫後,建立一個數據庫命名為snortdb。
mysql> create database snortdb;
mysql> grant create, insert, select, update on snortdb.* to snort@localhost;
mysql> set password for snort@localhost=password('snortpassword');
建立一個數據庫使用者,使用者名稱為snort,密碼為snortpassword。
將snort-mysql自帶的軟體包中附帶的sql檔案,匯入到資料庫中。
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
# rm /etc/snort/db-pending-config
5、配置snort
配置好了資料庫後,需要配置Snort配置檔案(/etc/snort/snort.conf),告訴snort以後
日誌寫入到snortdb資料庫中。
# vi /etc/snort/snort.conf
找到檔案中“var HOME_NET any”一行,將其修改為要監控的網路段,
並啟用下面幾行,如下:
#var HOME_NET any
var HOME_NET 10.1.1.0/24
#
#var HOME_NET any
# Set up the external network addresses as well. A good start may be "any"
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
--------------------
# output database: log, mysql, user=root password=test dbname=db host=localhost
output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost
檢測snort.conf配置檔案是否正常:
# snort -c /etc/snort/snort.conf
出現了小豬豬,就說明成功了,按Ctrl+C停止掉。
啟動snort:
# service snort start
安裝、配置基本分析與安全引擎(BASE)
1、安裝acidbase軟體包(已安裝)
apt-get update 更新源列表
apt-get install acidbase
這裡選擇mysql,前面還有兩個對話方塊,一個是ok,
一個是yes,我這裡就沒截圖了。
這裡密碼都輸入123456,要輸入幾次。
這裡需重新建立snort使用者
mysql -u root -p123456
mysql> grant create, insert, select, update on snortdb.* to snort@localhost;
mysql> set password for snort@localhost=password('snortpassword');
2、配置Apache檔案
將acidbase的安裝目錄複製到/var/www目錄中
# cp -r /usr/share/acidbase/ /var/www/
修改apache配置檔案:(如下圖)
vi /etc/apache2/sites-available/default
在檔案底部</VirtualHost>一行之前加入acidbase相關內容(上圖紅框框部分)
配置好了後,需要重啟apache2
# service apache2 restart
修改php.ini檔案
vi /etc/php5/apache2/php.ini
將acidbase目錄的許可權設定為777
chmod 777 -R /var/www/*
3、配置BASE
將現有的配置檔案改名,否則無法使用web介面配置base。
# mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig
還有軟連結檔案
#rm /var/www/acidbase/base_conf.php
現在通過瀏覽器開啟 http://10.1.1.106/acidbase/
開始配置我們的基本安全分析引擎了。
開啟上面的網址,出現瞭如下介面:
單擊Continue按鈕,進入Step1of5介面,如下圖所示:
這裡我選擇的是簡體中文
輸入ADODB的路徑“/usr/share/php/adodb”,單擊提交按鈕。
提醒:這裡ADODB的路徑,可以用如下命令去搜索
find / -name adodb
提交後,進入了Step 2 of 5介面,如下圖所示:
輸入資料庫資訊,Pick a Database type:MySQL,Database Name:snortdb,Database Host:127.0.0.1,Database User Name:snort,Database Password:snortpassword
單擊下面的提交按鈕進入Step 3 of 5,如下圖所示:
設定使用者名稱和密碼
單擊提交按鈕,進入Step 4 of 5介面,如下圖所示:
單擊上圖紅框框部分,在資料庫中建立BASE用到的表。
如果出現:
Successfully created 'acid_ag'
Successfully created 'acid_ag_alert'
Successfully created 'acid_ip_cache'
Successfully created 'acid_event'
Successfully created 'base_roles'
Successfully INSERTED Admin role
Successfully INSERTED Authenticated User role
Successfully INSERTED Anonymous User role
Successfully INSERTED Alert Group Editor role
Successfully created 'base_users'
表示資料表建立成功,單擊Now continue to step 5,進入管理介面,如下圖:
實驗步驟三使用基本安全分析引擎檢視入侵日誌
1、使用nmap對ids主機進行埠掃描
使用桌面上的nmap對ids主機進行埠掃描
重新整理瀏覽器頁面,就可以看到“埠掃描通訊”有資料了,點選進去可以檢視詳情。