)
实验目的
- 理解入侵检测系统(IDS)的工作原理及在网络安全中的作用。
- 掌握 Snort IDS 在 Linux 环境下的安装与环境配置。
- 学会编写 Snort 检测规则(Rules)。
- 能够利用 Snort 检测 DoS 攻击、端口扫描(Nmap)及远程连接(SSH)行为。
实验环境
本实验采用两台虚拟机在同一网段下进行模拟攻防:
1. 攻击机:Kali;
工具:ping,nmap,ssh
2. 靶机:Ubuntu(snort版);
工具:Snort 2.x, OpenSSH Server
实验内容与步骤
- 在linux平台建立基于Snort的IDS
(1)编辑 Ubuntu 软件源
编辑源列表:
sudo vim /etc/apt/sources.list
新增兼容源(粘贴到文件末尾,适配 Snort2 安装)按e编辑,插入以下内容:
deb http://archive.ubuntu.com/ubuntu focal universe multiverse
deb http://security.ubuntu.com/ubuntu focal-security universe multiverse
按Esc退出编辑模式,输入“:wq”退出。
(2)更新源并安装 Snort2
更新源
sudo apt update -y
sudo apt install snort -y
验证安装成功
snort -V
(3)Snort核心配置目录
sudo mkdir -p /etc/snort/rules/iplists
sudo mkdir -p /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir /etc/snort/so_rules
