CentOS sniffer如何报警
导读:在 CentOS 上让嗅探器产生报警的可行方案 使用具备规则引擎的 IDS(如 Snort)进行特征匹配并触发告警,支持控制台即时输出、写入日志/系统日志,或与数据库、邮件、SIEM 联动。 使用通用抓包器(如 tcpdump/tshar...
在 CentOS 上让嗅探器产生报警的可行方案
- 使用具备规则引擎的 IDS(如 Snort)进行特征匹配并触发告警,支持控制台即时输出、写入日志/系统日志,或与数据库、邮件、SIEM 联动。
- 使用通用抓包器(如 tcpdump/tshark)配合阈值与脚本实现“超限即告警”,适合轻量场景与自定义逻辑。下文给出两种方式的落地做法与阈值示例。
方案一 Snort IDS 规则告警与联动
- 安装与基础配置
- 安装依赖与 Snort(示例为 CentOS 7 常见做法),创建所需目录与规则文件,编辑 /etc/snort/snort.conf:设置 RULE_PATH、SO_RULE_PATH、PREPROC_RULE_PATH、WHITE_LIST_PATH、BLACK_LIST_PATH 等变量;取消注释并加载 local.rules。完成后用命令验证配置:snort -T -i < 接口> -c /etc/snort/snort.conf。
- 快速测试规则
- 在 /etc/snort/rules/local.rules 写入:alert icmp any any -> $HOME_NET any (msg:“ICMP test”; sid:10000001; )
- 以控制台告警模式运行:snort -A console -i < 接口> -u snort -g snort -c /etc/snort/snort.conf,从其他主机 ping 本机即可在终端看到告警。
- 输出与日志
- 配置输出插件以形成“可观测的告警通道”:
- 系统日志:output alert_syslog: LOG_AUTH LOG_ALERT
- 快速告警:output alert_fast: alert
- 完整告警/数据包:output alert_full: alert.log
- 典型告警日志路径:/var/log/snort/alert 或 /var/log/snort/snort.log.< 时间戳> ,可用 snort -r 回放分析。
- 配置输出插件以形成“可观测的告警通道”:
- 阈值与频率控制
- 在规则中使用阈值/计数抑制“告警风暴”,例如检测 SYN 洪泛(示例阈值:10 秒内同一目的地址计数达到 3 次即告警一次):alert tcp any any -> $HOME_NET any (msg:“synflood”; flags:S; threshold:type both,track by_dst,count 3,seconds 10; classtype:misc-attack; sid:10000003; rev:001; )。
- 持久化与可视化
- 使用 Barnyard2 将告警写入数据库(如 MySQL/MariaDB),前端用 BASE 展示与检索,便于审计与报表。
- 邮件或其他联动
- 通过系统日志将告警发至 syslog-ng/rsyslog,再由邮件/企业微信/钉钉/Slack webhook 推送;或接入 ELK(Elasticsearch、Logstash、Kibana)做集中存储与可视化。
方案二 通用嗅探器 tcpdump/tshark 的阈值告警
- 基本思路
- 先用过滤器精准抓取目标流量,再用脚本对“包数/速率”计数,超过阈值即触发告警(日志、邮件、企业微信/钉钉、Webhook 等)。
- 示例命令与阈值思路
- 按源 IP 统计 SYN 包并在 10 秒内超过 3 次时告警(示例为概念演示,需自行实现计数与告警逻辑):
- tcpdump -ni <
接口>
‘tcp[tcpflags] &
tcp-syn != 0 and tcp[tcpflags] &
tcp-ack == 0’ -tttt |
awk ‘{ ip=$3; count[ip]++; time[ip]=$1" "$2} END { for (i in count) if (count[i]> 3) print “ALERT:”,i,“SYN count”,count[i],“at”,time[i]} ’
- tcpdump -ni <
接口>
‘tcp[tcpflags] &
tcp-syn != 0 and tcp[tcpflags] &
tcp-ack == 0’ -tttt |
- 使用 tshark 计数示例:tshark -ni < 接口> -Y “tcp.flags.syn==1 and tcp.flags.ack==0” -T fields -e ip.src | sort | uniq -c
- 提示:tcpdump/tshark 本身不内置“阈值告警”,需结合 shell/Python 脚本与定时任务或循环检测实现“超限即告警”。
- 按源 IP 统计 SYN 包并在 10 秒内超过 3 次时告警(示例为概念演示,需自行实现计数与告警逻辑):
关键注意事项
- 网卡卸载特性会影响基于流的检测与重组,建议在部署 Snort 的接口上关闭 LRO/GRO:例如 ethtool -K gro off lro off(具体命令视网卡驱动而定)。
- 运行权限与安全:以 非 root 用户运行(如创建 snort 用户/组),日志目录与规则目录设置正确属主属组;生产环境优先使用 IDS 模式,需要阻断时再考虑 inline/IPS 模式并评估对业务连续性的影响。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: CentOS sniffer如何报警
本文地址: https://pptw.com/jishu/752345.html