1.实验环境
实验环境如图5-47所示:
2.实验步骤
第1步:在192.168.10.5上安装Snort。到http://www.snort.org/上下载snort-2.8.6.tar.gz和snortrules-pr-2.4.tar.gz。安装Snort之前先下载并且安装libpcap-devel、pcre和pcre-devel。将snort-2.8.6.tar.gz解压后进入snort-2.8.6,然后依次执行如下命令:
[root@localhost snort-2.8.6]#./configure
[root@localhost snort-2.8.6]#make
[root@localhost snort-2.8.6]#make install
[root@localhost snort-2.8.6]#mkdir -p /etc/snort/rules
[root@localhost snort-2.8.6]#cp etc/*.conf /etc/snort
[root@localhost snort-2.8.6]#cp etc/*.config /etc/snort
[root@localhost snort-2.8.6]#cp etc/unicode.map /etc/snort
[root@localhost snort-2.8.6]#mkdir /var/log/snort
将snortrules-pr-2.4.tar.gz解压后,将其中的规则文件全部复制到/etc/snort/rules下。编辑/etc/snort/snort.conf文件,将“var RULE_PATH ../rules”改为“var RULE_PATH /etc/snort/rules”。编辑/etc/snort/rules/icmp.rules文件,如图5-48所示。
第2步:在192.168.10.5上启动snort进行入侵检测,执行的命令如下:
[root@localhost ~]# snort -i eth1 -c/etc/snort/snort.conf -A fast -l /var/log/snort/
第3步:在192.168.10.1上的终端窗口中执行ping 192.168.10.5命令,如图5-49所示,然后再使用端口扫描工具对192.168.10.5进行端口扫描,如图5-50所示。
第4步:在192.168.10.5上分析检测数据,如图5-51所示,前4行对应与第3步的ping命令,第6行表明192.168.10.1对192.168.10.5进行了端口扫描。
