我們在前幾篇有說明:
接下來就進入 Snort 的部分囉~
本篇大綱
一、什麼是 Snort?
二、Snort 的功能
三、安裝 Snort 的步驟(Windows 用戶)
四、安裝 Snort(Linux 用戶)
Snort 是一個開源的入侵偵測系統(IDS)和入侵防禦系統(IPS)工具,主要用來監控和分析網路流量,以偵測潛在的網路入侵和攻擊。可以幫助我們識別和應對各種網路安全威脅,包含惡意軟體、病毒、蠕蟲、網路掃描、DoS(拒絕服務)攻擊和其他入侵行為。
封包捕獲和分析:
自定義規則引擎:
實時警報生成:
log 記錄:
多種偵測模式:
性能優化:
若已經成功安裝了 Ubuntu 在 VMware Workstation Player 中,接下來可以通過以下步驟來安裝 Snort:
步驟 1:更新軟體套件清單
可以通過以下方式打開終端機:
- 使用快捷鍵:按下
Ctrl
+Alt
+T
鍵組合。- 從應用程式選單中打開 Terminal。
- 將 Terminal 釘選到工作列或桌面上,以便快速訪問。
sudo
命令。sudo apt update
步驟 2:安裝 Snort
sudo apt install snort
Y
鍵然後按 Enter 鍵確認。步驟 3:配置 Snort
- Snort 也會要求要指定本地網路的地址範圍(通常我們會指定自己的本地網路的 IP 地址範圍),以便 Snort 知道哪些流量被視為內部網路。
- 假設我提供了一個 CIDR 表示法的地址範圍:
192.168.0.0/14
。- 這個地址範圍表示的是
192.168.0.0
到192.168.255.255
之間的所有 IP 地址,這是一個典型的私有 IP 地址範圍,通常在家庭或企業網路中使用。- 不過,若是你的內部網路不在這個範圍內,也可以根據你的實際情況提供正確的地址範圍。
安裝完成後,你需要配置 Snort,以定義入侵偵測規則和設定。Snort 的配置文件通常位於 /etc/snort/
目錄下。
可以使用文本編輯器(如 Nano 或 Vim)來編輯 Snort 的配置文件。例如,使用 Nano 編輯器:
sudo nano /etc/snort/snort.conf
步驟 4:啟動 Snort
sudo systemctl start snort
sudo systemctl enable snort
若你是Linux 用戶,且沒有要在 VM 上操作,也可以選擇直接安裝 Snort。
(不過我這系列主來還是以 VMware Workstation Player(Windows 64-bit)的使用者的操作為主)
Snort 下載連結:https://www.snort.org/
Snort 的初登場就先到這!
颱風快來了,大家都要平安啊~