入侵检测工具

snort(https://www.snort.org/)

官方文档: http://manual-snort-org.s3-website-us-east-1.amazonaws.com/

• 安装
  yum install libdnet libdnet-devel -y
  yum install https://www.snort.org/downloads/snort/daq-2.0.6-1.centos7.x86_64.rpm
  yum install https://www.snort.org/downloads/snort/snort-2.9.12-1.centos7.x86_64.rpm

   注意:
      报错: error while loading shared libraries: libdnet.1: cannot open shared object file: No such file or directory* 
   解决方法: 
   	    cd /usr/lib64
   	    ln -s libdnet.so.1.0.1 libdnet.1
  

• 使用
  参数

   -v  打印详细内容
   -d  打印应用层信息
   -i	 网卡设备,多个设备用:分隔
   -e  打印第二层的(数据链路层)头信息
   -h  指定网段,例: 192.168.1.0/24 
   -b  以二进制的方式保存日志,tcpdump的格式
   -r  读取日志文件
  

  sniffer mode

   打印tcp/ip头部信息
   	snort -v
   打印IP和TCP/UDP/ICMP头部信息
   	snort -vd
   打印头部信息和数据
   	snort -vde
  

  packet logger mode

   将数据保存到硬盘,下面的./log必须是目录
     snort -vde -l ./log
  
   读取指定log的icmp协议包信息			
     snort -dvr packet.log icmp
  

  network intrusion detection system mode

   	执行snort -c /etc/snort/snort.conf
   		**报错**: ERROR: /etc/snort/snort.conf(253) Could not stat dynamic module path "/usr/local/lib/snort_dynamicrules": No such file or directory.
   	解决: mkdir /usr/local/lib/snort_dynamicrules
  

  语法规则

   变量类型
       var  			变量
       portvar		端口范围
       ipvar        	ip范围
   注意: 当变量为端口和ip时, 最好分别使用portvar和ipvar, 目前两者均可使用,但后续版本可能会不支持ip和port为var类型 
  
   例子:
   	var RULES_PATH rules/
   	portvar MY_PORTS [22,80,1024:1050]
   	ipvar MY_NET [1.1.1.1, 192.168.1.0/24, ![2.2.2.2,2.2.2.3]]
   	ipvar EXAMPLE any
   说明: any表示所有, !表示取反
  

chkrootkit(http://www.chkrootkit.org)

1. 安装
   wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
   tar xf chkrootkit.tar.gz && make

2. 使用
   ./chkrootkit
   如果机器被感染,则会出现“INFECTED”, 可以用grep过滤出来
   目录下还有其他检测脚本,自行探究

aide

1. 安装
   yum install aide

psad(https://github.com/mrash/psad)