Snort + SnortSnarf に関するインストールメモ(2002/08/16) 
 

Snort を使う?

まったくもって困った事に世の中には、サーバを攻撃したり、悪戯してみたりとなんと多いことか・・・。そんなこんなで、攻撃のログをこっそり取っておきましょう。また、SnortSnarf のソフトを使用すると、綺麗に見せるレポートを作ってくれます。(^o^)丿

本家 : Snort (英語サイト)

本家 : SnortSnarf(Silicon Defense) (英語サイト)

参考 : SNORTで侵入検出

参考 : サーバー侵入の準備行為とされるポート・スキャンはどのように検知できますか

 

Snort の設定方法

★.libpcapライブラリが必要です。libpcapがインストールされていない場合は、http://www.tcpdump.org/でアーカイブを入手する必要があります。

1.Snortをインストールします。

% cd /opt/local/src
% wget http://www.snort.org/dl/snort-1.8.7.tar.gz
% gzip -cd snort-1.8.7.tar.gz | tar xf -
% cd snort-1.8.7
% env CFLAGS=-O3 ./configure
% make
% su
# make install
# mkdir /etc/snort
# cp -p snort.conf /etc/snort
# cp -p *.rules /etc/snort

2.とりあえずの設定をしてみます。

# vi /etc/snort/snort.conf 
    var HOME_NET 192.0.0.0/24        ← 監視対象のIPアドレスを指定します
    var DNS_SERVERS 192.0.0.10/32 ← DNSサーバのIPアドレスを指定します
# mkdir -p /var/log/snort

3.起動してみましょう。

# /usr/local/bin/snort -Dde -c /etc/snort/snort.conf -h 192.0.0.0/32 -l /var/log/snort

4.ログが出てるかな?

# ls -al /var/log/snort
  -rw------- 1 root other 2932 4月 26日 11:27 alert
  -rw------- 1 root other    0 4月 25日 18:28 portscan.log 

5.自動起動自動起動

# vi /etc/init.d/snort
# chmod +x /etc/init.d/snort
# ln -s /etc/init.d/snort /etc/rc3.d/S50snort

SnortSnarf  の設定方法

1.SnortSnarf をインストールします。

% cd /opt/local/src
% wget http://www.silicondefense.com/software/snortsnarf/SnortSnarf-020516.1.tar.gz
% gzip -cd SnortSnarf-020516.1.tar.gz | tar xf -
% cd SnortSnarf-020516.1
% cd Time-modules
% perl Makefile.PL
% make
% make test
% su
# make install

2.とりあえず動かしてみます。

# ./snortsnarf.pl -d /opt/local/apache/htdocs/snortsnarf /var/log/snort/alert

3.クーロン化 (^o^)丿

0,30 * * * * /opt/local/src/SnortSnarf-020516.1/snortsnarf.pl -d /opt/local/apache/htdocs/snortsnarf /var/log/snort/alert 1> /dev/null

4.アクセスしてみるべし (ーー゛)

http://localhost/snortsnarf/