snort源碼
㈠ 怎樣用snort搭建防火牆 選修課考試 拜託了
Snort是一個著名的免費而又功能強大的輕量級入侵檢測系統,具有使用簡便、輕量級以及封堵效率高等特點,本文從實用操作的角度介紹了如何用Snort保證上網主機的安全。
入侵檢測技術是繼「防火牆」、「數據加密」等傳統安全保護措施之後的新一代安全保障技術。它對計算機和網路資源上的惡意使用行為進行識別和響應,它不僅檢測來自外部的入侵行為,同時也監督內部用戶的未授權活動。而且,隨著網路伺服器對安全性要求的不斷增大,如何在linux環境下抵禦黑客入侵和攻擊,切實保證伺服器的安全具有重大的實踐意義。
Snort是一個強大的輕量級的免費網路入侵檢測系統,其特點如下:
1.輕量級的網路入侵檢測系統
Snort雖然功能強大,但其代碼非常簡潔、短小,源代碼壓縮包只有1.8M多。
2.Snort的可移植性好
Snort的跨平台性能極佳,目前已經支持類Unix下Linux、Solaris、Freebsd、Irix、HP-ux、微軟的Windows2000等伺服器系統。
3.Snort的功能非常強大
Snort具有實時流量分析和日誌IP網路數據包的能力,能夠快速檢測網路攻擊,及時發出報警。利用XML插件,Snort可以使用SNML(簡單網路標志語言)把日誌放到一個文件或者適時報警。Snort能夠進行協議分析和內容的搜索/匹配,現在Snort能分析的協議有TCP、UDP、ICMP,將來可能增加對ARP、IPX等協議的支持。它能夠檢測多種方式的攻擊和探測,例如緩沖區溢出、秘密埠掃描、CGI攻擊、SMB探測、探測存在系統指紋特徵的企圖等。Snort的日誌格式既可以是tcpmp式的二進制格式,也可以解碼成ASCⅡ字元格式,更加便於用戶尤其是新手檢查。使用資料庫輸出插件,Snort可以把日誌記錄進資料庫。使用TCP流插件,Snort可以對TCP包進行重組。
4.Snort的擴展性較好,對於新的攻擊反應迅速
作為一個輕量級的網路入侵檢測系統,Snort有足夠的擴展能力。它使用一種簡單的規則描述語言,最基本的規則只是包含四個域:處理動作、協議、方向、注意的埠,例如「log tcp any any-> 192.168.0.1/24 79」。發現新的攻擊後,可以很快根據「bugtraq」郵件列表,找出特徵碼,寫出檢測規則。因為規則語言簡單,所以容易上手,節省人員的培訓費用。
5.遵循公共通用許可證GPL
Snort遵循通用公共許可證GPL,所以只要遵守GPL ,任何組織和個人都可以自由使用。
Snort的體系結構
包解碼 Snort的包解碼支持乙太網和SLIP及PPP媒體介質。包解碼所做的工作就是為探測引擎准備數據,其功能是捕獲網路傳輸數據並按照TCP/IP協議的不同層次將數據包進行解析。Snort利用libpcap庫函數進行數據採集, 該庫函數可以為應用程序提供直接從鏈路層捕獲數據包的介面函數,並可以設置數據包過濾器來捕獲指定的數據。網路數據採集和解析機制是整個NIDS實現的基礎,其中最關鍵的是要保證高速和低的丟包率,這不僅僅取決於軟體的效率還同硬體的處理能力相關。對於解析機制來說,能夠處理數據包的類型的多樣性也同樣非常重要。
探測引擎 探測引擎是Snort的心臟,它主要負責的工作是:按照啟動時載入的規則,對每個數據包進行分析。探測引擎將Snort規則分解為鏈表頭和鏈表選項進行引用。鏈表頭由諸如源/目標IP地址及埠號這些普通信息標識,鏈表選項定義一些更詳細的信息如TCP 標志、ICMP代碼類型、特定的內容類型、負載容量等。探測引擎按照Snort規則文件中定義的規則依次分析每個數據包。與數據包中數據匹配的第一條規則觸發在規則定義中指定的動作,凡是與規則不匹配的數據包都會被丟棄。
日誌記錄/告警系統 告警和日誌是兩個分離的子系統。日誌允許將包解碼收集到的信息以可讀的格式或以tcpmp格式記錄下來。可以配置告警系統,使其將告警信息發送到syslog、flat文件、Unix套接字或資料庫中。在進行測試或在入侵學習過程當中,還可以關掉告警。預設情況下,所有的日誌將會寫到/var/log/Snort文件夾中,告警文件將會寫到/var/log/Snort/alerts文件中。Snort的數據包記錄器子系統主要提供了如下方式:「Fast Model」,採取tcpmp的格式記錄信息 ;「Readable Model」,按照協議格式記錄,易於用戶查看;「Alert to syslog」,向syslog發送報警信息;「Alert to text file」,以明文形式記錄報警信息。
值得提出的是,Snort考慮到用戶需要高性能的時候,即網路數據流量非常大,可以將數據包信息進行壓縮從而實現快速報警。
㈡ linux下,安裝snort,輸入 ./configure --prefix=/usr/local/snort --enable-mysql=/usr/local/mysql/
對啊 這個說明源碼包里沒給你定製這個功能的權利 沒辦法啊 裝就是了
㈢ 特洛伊 木馬!
特洛伊木馬是一種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言,大多數特洛伊木馬都模仿一些正規的遠程式控制制軟體的功能,如Symantec的pcAnywhere,但特洛伊木馬也有一些明顯的特點,例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟體之中,誘使粗心的用戶在自己的機器上運行。最常見的情況是,上當的用戶要麼從不正規的網站下載和運行了帶惡意代碼的軟體,要麼不小心點擊了帶惡意代碼的郵件附件。
大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程序的工具將伺服器部分綁定到某個合法軟體上,誘使用戶運行合法軟體。只要用戶一運行軟體,特洛伊木馬的伺服器部分就在用戶毫無知覺的情況下完成了安裝過程。通常,特洛伊木馬的伺服器部分都是可以定製的,攻擊者可以定製的項目一般包括:伺服器運行的IP埠號,程序啟動時機,如何發出調用,如何隱身,是否加密。另外,攻擊者還可以設置登錄伺服器的密碼、確定通信方式。
伺服器向攻擊者通知的方式可能是發送一個email,宣告自己當前已成功接管的機器;或者可能是聯系某個隱藏的Internet交流通道,廣播被侵佔機器的IP地址;另外,當特洛伊木馬的伺服器部分啟動之後,它還可以直接與攻擊者機器上運行的客戶程序通過預先定義的埠進行通信。不管特洛伊木馬的伺服器和客戶程序如何建立聯系,有一點是不變的,攻擊者總是利用客戶程序向伺服器程序發送命令,達到操控用戶機器的目的。
特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器,也可以用廣播方式發布命令,指示所有在他控制之下的特洛伊木馬一起行動,或者向更廣泛的范圍傳播,或者做其他危險的事情。實際上,只要用一個預先定義好的關鍵詞,就可以讓所有被入侵的機器格式化自己的硬碟,或者向另一台主機發起攻擊。攻擊者經常會用特洛伊木馬侵佔大量的機器,然後針對某一要害主機發起分布式拒絕服務攻擊(Denial of Service,即DoS),當受害者覺察到網路要被異乎尋常的通信量淹沒,試圖找出攻擊者時,他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜數據機用戶,真正的攻擊者早就溜之大吉。
二、極度危險的惡意程序
對於大多數惡意程序,只要把它們刪除,危險就算過去,威脅也不再存在,但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣,也會刪除或修改文件、格式化硬碟、上傳和下載文件、騷擾用戶、驅逐其他惡意程序,例如,經常可以看到攻擊者霸佔被入侵機器來保存游戲或攻擊工具,用戶所有的磁碟空間幾乎都被侵佔殆盡,但除此之外,特洛伊木馬還有其獨一無二的特點——竊取內容,遠程式控制制——這使得它們成為最危險的惡意軟體。
首先,特洛伊木馬具有捕獲每一個用戶屏幕、每一次鍵擊事件的能力,這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射,甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有一個麥克風,特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭,許多特洛伊木馬能夠把它打開,捕獲視頻內容——在惡意代碼的世界中,目前還沒有比特洛伊木馬更威脅用戶隱私的,凡是你在PC前所說、所做的一切,都有可能被記錄。
一些特洛伊木馬帶有包嗅探器,它能夠捕獲和分析流經網卡的每一個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門,即使木馬後來被清除了,攻擊者仍可以利用以前留下的後門方便地闖入。
其次,如果一個未經授權的用戶掌握了遠程式控制制宿主機器的能力,宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力,而且還能夠冒充PC合法用戶,例如冒充合法用戶發送郵件、修改文檔,當然還可以利用被侵佔的機器攻擊其他機器。二年前,一個家庭用戶請我幫忙,要我幫他向交易機構證明他並沒有提交一筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址,而且在他的瀏覽器緩沖區中,我也找到了該筆有爭議的交易的痕跡。另外,我還找到了SubSeven(即Backdoor_G)特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關,但可以看出交易發生之時特洛伊木馬正處於活動狀態。
三、特洛伊木馬的類型
常見的特洛伊木馬,例如Back Orifice和SubSeven等,都是多用途的攻擊工具包,功能非常全面,包括捕獲屏幕、聲音、視頻內容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程式控制制器、FTP伺服器、HTTP伺服器、Telnet伺服器,還能夠尋找和竊取密碼。攻擊者可以配置特洛伊木馬監聽的埠、運行方式,以及木馬是否通過email、IRC或其他通信手段聯系發起攻擊的人。一些危害大的特洛伊木馬還有一定的反偵測能力,能夠採取各種方式隱藏自身,加密通信,甚至提供了專業級的API供其它攻擊者開發附加的功能。由於功能全面,所以這些特洛伊木馬的體積也往往較大,通常達到100 KB至300 KB,相對而言,要把它們安裝到用戶機器上而不引起任何人注意的難度也較大。
對於功能比較單一的特洛伊木馬,攻擊者會力圖使它保持較小的體積,通常是10 KB到30 KB,以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用,它們把受害用戶的每一個鍵擊事件記錄下來,保存到某個隱藏的文件,這樣攻擊者就可以下載文件分析用戶的操作了。還有一些特洛伊木馬具有FTP、Web或聊天伺服器的功能。通常,這些微型的木馬只用來竊取難以獲得的初始遠程式控制制能力,保障最初入侵行動的安全,以便在不太可能引起注意的適當時機上載和安裝一個功能全面的大型特洛伊木馬。
隨便找一個Internet搜索網站,搜索一下關鍵詞Remote Access Trojan,很快就可以得到數百種特洛伊木馬——種類如此繁多,以至於大多數專門收集特洛伊木馬的Web網站不得不按照字母順序進行排列,每一個字母下有數打甚至一百多個木馬。下面我們就來看看兩種最流行的特洛伊木馬:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow開發了Back Orifice。這個程序很快在特洛伊木馬領域出盡風頭,它不僅有一個可編程的API,還有許多其他新型的功能,令許多正規的遠程式控制制軟體也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)發行,希望能夠吸引一批正規用戶,以此與老牌的遠程式控制制軟體如pcAnywhere展開競爭。
但是,它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內接受。攻擊者可以利用BO2K的伺服器配置工具可以配置許多伺服器參數,包括TCP或UDP、埠號、加密類型、秘密激活(在Windows 9x機器上運行得較好,在Windows NT機器上則略遜一籌)、密碼、插件等。
Back Orifice的許多特性給人以深刻的印象,例如鍵擊事件記錄、HTTP文件瀏覽、注冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP埠重定向、消息發送、遠程重新啟動、遠程鎖定、數據包加密、文件壓縮,等等。Back Orifice帶有一個軟體開發工具包(SDK),允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程式控制制機器的鍵盤和滑鼠。就實際應用方面而言,Back Orifice對錯誤的輸入命令非常敏感,經驗不足的新手可能會使它頻繁地崩潰,不過到了經驗豐富的老手那裡,它又會變得馴服而又強悍。
■ SubSeven
SubSeven可能比Back Orifice還要受歡迎,這個特洛伊木馬一直處於各大反病毒軟體廠商的感染統計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用,還具有埠重定向、注冊表修改、麥克風和攝像頭記錄的功能。圖二顯示了一部分SubSeven的客戶端命令和伺服器配置選項。
SubSeven具有許多令受害者難堪的功能:攻擊者可以遠程交換滑鼠按鍵,關閉/打開Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del組合鍵,注銷用戶,打開和關閉CD-ROM驅動器,關閉和打開監視器,翻轉屏幕顯示,關閉和重新啟動計算機,等等。
SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發起人聯系,它能夠隨機地更改伺服器埠,並向攻擊者通知埠的變化。另外,SubSeven還提供了專用的代碼來竊取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保護程序的密碼。
四、檢測和清除特洛伊木馬
如果一個企業網路曾經遭受病毒和Email蠕蟲的肆虐,那麼這個網路很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密,因此對於常規的反病毒軟體來說,查找木馬要比查找蠕蟲和病毒困難得多。另一方面,特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此,檢測和清除特洛伊木馬是系統管理員的首要任務。
要反擊惡意代碼,最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬,並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬,但某些工具的效果令人懷疑,至少不值得完全信任。不過,Agnitum的Tauscan確實稱得上頂級的掃描軟體,過去幾年的成功已經證明了它的效果。
特洛伊木馬入侵的一個明顯證據是受害機器上意外地打開了某個埠,特別地,如果這個埠正好是特洛伊木馬常用的埠,木馬入侵的證據就更加肯定了。一旦發現有木馬入侵的證據,應當盡快切斷該機器的網路連接,減少攻擊者探測和進一步攻擊的機會。打開任務管理器,關閉所有連接到Internet的程序,例如Email程序、IM程序等,從系統托盤上關閉所有正在運行的程序。注意暫時不要啟動到安全模式,啟動到安全模式通常會阻止特洛伊木馬裝入內存,為檢測木馬帶來困難。
大多數操作系統,當然包括Windows,都帶有檢測IP網路狀態的Netstat工具,它能夠顯示出本地機器上所有活動的監聽埠(包括UDP和TCP)。打開一個命令行窗口,執行「Netstat -a」命令就可以顯示出本地機器上所有打開的IP埠,注意一下是否存在意外打開的埠(當然,這要求對埠的概念和常用程序所用的埠有一定的了解)。
顯示了一次Netstat檢測的例子,檢測結果表明一個Back Orifice使用的埠(即31337)已經被激活,木馬客戶程序使用的是遠程機器(ROGERLAP)上的1216埠。除了已知的木馬常用埠之外,另外還要特別留意未知的FTP伺服器(埠21)和Web伺服器(埠80)。
但是,Netstat命令有一個缺點,它能夠顯示出哪些IP埠已經激活,但卻沒有顯示出哪些程序或文件激活了這些埠。要找出哪個執行文件創建了哪個網路連接,必須使用埠枚舉工具,例如,Winternals Software的TCPView Professional Edition就是一個優秀的埠枚舉工具。Tauscan除了能夠識別特洛伊木馬,也能夠建立程序與埠的聯系。另外,Windows XP的Netstat工具提供了一個新的-o選項,能夠顯示出正在使用埠的程序或服務的進程標識符(PID),有了PID,用任務管理器就可以方便地根據PID找到對應的程序。
如果手頭沒有埠枚舉工具,無法快速找出幕後肇事者的真正身份,請按照下列步驟操作:尋找自動啟動的陌生程序,查找位置包括注冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式,可能的話,用Netstat命令確認一下特洛伊木馬尚未裝入內存。接下來,分別運行各個前面找出的有疑問的程序,每次運行一個,分別用Netstat命令檢查新打開的埠。如果某個程序初始化了一個Internet連接,那就要特別小心了。深入研究一下所有可疑的程序,刪除所有不能信任的軟體。
Netstat命令和埠枚舉工具非常適合於檢測一台機器,但如果要檢測的是整個網路,又該怎麼辦?大多數入侵檢測系統(Intrusion Detection System,IDS)都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構,特洛伊木馬數據包也一樣。只要正確配置和經常更新IDS,它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見http://www.snort.org,了解常見的源代碼開放IDS工具。
五、處理遺留問題
檢測和清除了特洛伊木馬之後,另一個重要的問題浮現了:遠程攻擊者是否已經竊取了某些敏感信息?危害程度多大?要給出確切的答案很困難,但你可以通過下列問題確定危害程度。首先,特洛伊木馬存在多長時間了?文件創建日期不一定值得完全信賴,但可資參考。利用Windows資源管理器查看特洛伊木馬執行文件的創建日期和最近訪問日期,如果執行文件的創建日期很早,最近訪問日期卻很近,那麼攻擊者利用該木馬可能已經有相當長的時間了。
其次,攻擊者在入侵機器之後有哪些行動?攻擊者訪問了機密資料庫、發送Email、訪問其他遠程網路或共享目錄了嗎?攻擊者獲取管理員許可權了嗎?仔細檢查被入侵的機器尋找線索,例如文件和程序的訪問日期是否在用戶的辦公時間之外?
在安全要求較低的環境中,大多數用戶可以在清除特洛伊木馬之後恢復正常工作,只要日後努力防止遠程攻擊者再次得逞就可以了。至於安全性要求一般的場合,最好能夠修改一下所有的密碼,以及其他比較敏感的信息(例如信用卡號碼等)。
在安全性要求較高的場合,任何未知的潛在風險都是不可忍受的,必要時應當調整管理員或網路安全的負責人,徹底檢測整個網路,修改所有密碼,在此基礎上再執行後繼風險分析。對於被入侵的機器,重新進行徹底的格式化和安裝。
特洛伊木馬造成的危害可能是非常驚人的,由於它具有遠程式控制制機器以及捕獲屏幕、鍵擊、音頻、視頻的能力,所以其危害程度要遠遠超過普通的病毒和蠕蟲。深入了解特洛伊木馬的運行原理,在此基礎上採取正確的防衛措施,只有這樣才能有效減少特洛伊木馬帶來的危害.
㈣ Linux下按裝snort遇到了包依賴關系.
要麼yum install snort;
要麼yum install rpmlib libdnet.1 libpcap.so.1 libsfbpf.so.0,然s後rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM
要不rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM --nodeps裝上,但不一定能用
㈤ linux下如何編譯運行snort的源代碼急急急
首先你查看源代碼中是否有configure.或是install.sh或是install或是make之類的文件,一般的情況應該有configure,那麼你先運行./configure,執行完後執行make,之後執行make install即可安裝了
㈥ 配製snort的時候這個報錯怎麼解決
您好,是這樣的:
1、安裝一下libdnet試試看
2、編譯snort的時候man看看是否有類似--with-libdnet之類的參數,這個報錯就是找不到libdnet,
如果是64位系統的話find找一下,注意/lib和/lib64這兩個lib庫是否都有libdnet。
3、Snort 是一個開源的輕量級入侵監測系統,可以監測網路上的異常情況,給出報告;
安裝新版本的iptables軟體
可以到
http://www.netfilter.org
的網站下載最新版本的iptables源代碼,目前最新的版本是1.2.9。
從網站上下載的源代碼是「tar.bz2」格式的,編譯源代碼的第一步工作是解壓縮,命令如下:
#/bin/tar xjvf iptables-1.2.9.tar.bz2
解壓縮後,進入源代碼的安裝目錄,開始編譯:
# make install-devel KERNEL_DIR=/usr/include/linux/
如果一切正常,那麼iptables應該編譯好了,接下來可以進行安裝了,安裝命令非常簡單:
#make install KERNEL_DIR=/usr/include/linux/
#setup->firewall configure->enable
#vi /etc/sysconfig/iptables ;add ssh (tcp port 22).etc...
service iptables start
chkconfig --level 35 iptables start
㈦ 有研究apache模塊或是其源代碼的嗎進來一下!!!對我來說實在太難了。我是新手,沒什麼分。但問題很難
hp時需要用--with-apxs2指定apxs的位置,如果有mysql,需要用--with-mysql指定mysql的安裝位置,寫個全的給你吧:
編譯apache前你這樣:
./configure --prefix=/etc/httpd --enable-so --enable-rewrite --enable-mole-so --enable-ssl --with-ssl=/usr/share/ssl
編譯php前你這樣:
./configure --prefix=/usr/local/php --with-apxs2=/etc/httpd/bin/apxs --with-mysql=/usr/local/mysql --with-config-file-path=/usr/local/lib --enable-track-vars --with-xml
然後在/etc/httpd/conf/httpd.conf里加入
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
AddType application/x-httpd-php .php3
這樣你啟動了apache後,就可以直接支持php和mysql了。
以上的方法適合於apache2.0x和php4.x.x。
我就是這樣配置和編譯的。。。
另外,虛機團上產品團購,超級便宜
㈧ Snort入侵檢測實用解決方案的內容簡介
《網站入侵與腳本攻防修煉》從「攻」、「防」兩個角度,通過現實中的入侵實例,並結合原理性的分析,圖文並茂地展現網站入侵與防禦的全過程。全書共分8章,系統地介紹網站入侵的全部過程,以及相應的防禦措施和方法。其中包括網站入侵的常見手法、流行網站腳本入侵手法揭密與防範、遠程攻擊入侵網站與防範、網站源代碼安全分析與測試等。《網站入侵與腳本攻防修煉》尤其對網站腳本漏洞原理進行細致的分析,幫助網站管理員、安全人員、程序編寫者分析、了解和測試網站程序的安全性漏洞。《網站入侵與腳本攻防修煉》用圖解的方式對網站入侵步驟及安全防範設置都進行詳細的分析,並且對一些需要特別注意的安全事項進行重點提示,過程中還加入一些安全技巧。
隨書所配光碟內容包括書中涉及的源代碼、視頻教程和演示動畫,方便讀者學習和參考。
《網站入侵與腳本攻防修煉》適合於網路安全技術愛好者、網路管理員、網站程序編寫人員閱讀,也可作為相關專業學生的學習及參考資料。
㈨ centos安裝snort, libpcap的版本太低怎麼辦
這種企業大版本內的升級一般不會涉及重要軟體的大版本升級,這是為了保證用戶業務的連續性、兼容性。安裝最新版的三種方法:1、使用源代碼安裝。但我說過:不用包管理器安裝軟體的99%都是耍流氓。2、使用軟體提供...
㈩ 要做linux的入侵檢測,要學那些知識有好的網站嗎,最好是有源代碼免費下載的
snort就是做入侵檢測的,然後就可以把snort和防火牆做個聯動什麼的。