[blog]
[ML]
[todo]
[CVS]
[bug]
[apache log]
[swiki log]
[statistics]
[map]
[man]
[info]
[アンテナ]
snort
(なんとなくロゴをつけてみました)
Packetのスニファーをして解析を行い、侵入の検知をするツール。
設定ファイルで、検出のパターンを指定できる。
SNORTのインストール
- 本家サイトから、ソースをDLする。
- 展開して、./configure; make
- rootでmake install
- で他の機能を追加する場合には、./configure で–enable-hogehogeすべし。(詳しくは、INSTALLをよむべし)
SNORTの(最低限の)設定
でインストールだけじゃ動きもしないので設定をします。
ついでに最新版のルールを使いましょう。
- 本家に最新版のルールがあるので、DLします。
- これを適当なパスに配置します。私は、/usr/local/etc/snort/rulesにしました。
- その次に、/usr/local/etc/snort/rules/snort.confを編集します。
- ログが吐かれるディレクトリ(デフォルト=/var/log/snort)を作っておけ。
- じゃあとりあえず、動かす。
- /usr/local/bin/snort -c /usr/local/etc/snort/rules/snort.conf -Dde -h XX.XX.XX.XX/24
- その後、/var/log/snort/の中をみるとログが...
snort関連ツール類
snortのソースを展開するとcontribディレクトリができます。その下には、
いくつかの便利なツールが入ってます。その中のいくつかを紹介します。
詳細は、READMEを参照。
- ACID+snort+postgresql
- Web上でsnortログをアクセスできる。DBを使う。
- Guardian
- snortのログをチェックして、自動的にipchainsの設定をするらしいperlスクリプト。linuxでしか動作しないとのこと。
- Net-SnortLog
- Snortのログを解析するための、perlモジュール
- SnortSnarf
- spade
- snort-sort.pl
- snort2html.pl
- snort_stat.pl
- oinkmaster
関連サイト
Links to this Page
- セキュリティスキャナ last edited on 1 October 2003 at 11:39 pm
- 侵入検知システム(IDS) last edited on 23 January 2002 at 10:09 am
- ACID last edited on 4 April 2004 at 6:21 pm