Snort + SnortSnarf
に関するインストールメモ(2002/08/16)
まったくもって困った事に世の中には、サーバを攻撃したり、悪戯してみたりとなんと多いことか・・・。そんなこんなで、攻撃のログをこっそり取っておきましょう。また、SnortSnarf のソフトを使用すると、綺麗に見せるレポートを作ってくれます。(^o^)丿
本家 : Snort (英語サイト)
本家 : SnortSnarf(Silicon Defense) (英語サイト)
参考 : SNORTで侵入検出
参考 : サーバー侵入の準備行為とされるポート・スキャンはどのように検知できますか
★.libpcapライブラリが必要です。libpcapがインストールされていない場合は、http://www.tcpdump.org/でアーカイブを入手する必要があります。
1.Snortをインストールします。
% cd /opt/local/src
% wget http://www.snort.org/dl/snort-1.8.7.tar.gz
% gzip -cd snort-1.8.7.tar.gz | tar xf -
% cd snort-1.8.7
% env CFLAGS=-O3 ./configure
% make
% su
# make install
# mkdir /etc/snort
# cp -p snort.conf /etc/snort
# cp -p *.rules /etc/snort2.とりあえずの設定をしてみます。
# vi /etc/snort/snort.conf
var HOME_NET 192.0.0.0/24 ← 監視対象のIPアドレスを指定します
var DNS_SERVERS 192.0.0.10/32 ← DNSサーバのIPアドレスを指定します
# mkdir -p /var/log/snort3.起動してみましょう。
# /usr/local/bin/snort -Dde -c /etc/snort/snort.conf -h 192.0.0.0/32 -l /var/log/snort
4.ログが出てるかな?
# ls -al /var/log/snort
-rw------- 1 root other 2932 4月 26日 11:27 alert
-rw------- 1 root other 0 4月 25日 18:28 portscan.log5.自動起動自動起動
# vi /etc/init.d/snort
# chmod +x /etc/init.d/snort
# ln -s /etc/init.d/snort /etc/rc3.d/S50snort
1.SnortSnarf をインストールします。
% cd /opt/local/src
% wget http://www.silicondefense.com/software/snortsnarf/SnortSnarf-020516.1.tar.gz
% gzip -cd SnortSnarf-020516.1.tar.gz | tar xf -
% cd SnortSnarf-020516.1
% cd Time-modules
% perl Makefile.PL
% make
% make test
% su
# make install2.とりあえず動かしてみます。
# ./snortsnarf.pl -d /opt/local/apache/htdocs/snortsnarf /var/log/snort/alert
3.クーロン化 (^o^)丿
0,30 * * * * /opt/local/src/SnortSnarf-020516.1/snortsnarf.pl -d /opt/local/apache/htdocs/snortsnarf /var/log/snort/alert 1> /dev/null
4.アクセスしてみるべし (ーー゛)
http://localhost/snortsnarf/