软 件 设 置

    现在你已经安装并在运行Snort Wireless，接下来是对其进行配置，以使其在你的特定网络中使用。当ipkg在运行的时候，Snort安装它到你的额路由器的/etc/snort目录中。和所有比较优秀的基于Unix的程序一样，Snort使用一个可编辑的配置文件来记录关于它的网络环境和它所能查阅的不同攻击方式的信息。这个文件被叫做snort.conf（下图），位于/etc/snort目录下，在你喜欢的文本编辑器中打开它（如果路由器上默认没有的话，可以使用ipkg来下载这个程序）。

通过Vi查看snort.conf配置文件

    现在你可以配置你的特定网络中的所有不同的变量，包括入侵检测系统所运行的无线访问点的名称，和你想与潜在的攻击者区分开的所有客户端的MAC地址。在这儿有很多参数需要配置，因此确信你已经全部看完了这些参数，以确保你可以合理的去配置它们。尤其是你需要关注的几件事情是Snort Wireless新增的Wi-Fi专用预处理器。这些包括检测诸如NetStumbler和MAC地址欺骗之类的被动网络扫描预处理器。这些预处理器和它们所能做的内容大体如下：

    • AntiStumbler：为了发现其他访问点，诸如NetStumbler和MacStumbler之类的程序利用空SSID。这些SSID被设置成0位，被当作广播SSID使用（类似于于广播ping请求），来欺骗其他访问点反馈它们的SSID到广播主机。对于驾驶攻击（wardriving）和其他网络侦察尝试，它是非常有用的。当有过多的空SSID被从一个单一的MAC地址发出来的时候，AntiStumbler预处理器可以识别并向入侵检测系统报警：一个潜在的攻击正在发生。

    注意：这个预处理器不能检测诸如Kismet之类的驾驶攻击（wardriving）程序，因为这类程序只是简单的侦听原始的802.11帧，而并不发出请求包。

AntiStumbler预处理器可以对这种类型的侦察尝试进行告警

    • DeauthFlood：这类攻击使用一个确认失效（deauthentication）Flood来不停地向AP发送一些模拟正常用户要“解除认证会话”的帧，导致正常用户无法正常连入WLAN（网络层以上均不通）。它也可以被当作一个针对访问点的拒绝服务（DoS）攻击来使用。DeauthFlood预处理器通过查看在一定时间内发送的取消认证帧的数量来检测这类攻击的发生，并产生一个告警。

    • AuthFlood：与DeauthFlood类似，AuthFlood预处理器针对认证flooding攻击进行检测和报警，认证flooding攻击是一个客户端尝试多次连接无线网络，从而对访问点实现拒绝服务攻击。

    • MacSpoof：限制非法客户端连入访问点的最有效的方法之一就是建立一个可以与访问点通讯的设备的MAC地址白名单。但是不幸的是，一个熟悉的攻击者可以在他的计算机上伪装成一个白名单中的MAC地址来与访问点进行通讯。MacSpoof处理器检查收到包中是否有隐藏欺骗MAC地址的欺骗，并产生告警。

    • RogureAP：恶意的访问点是指那些伪装成合法访问点的怀有不良企图的访问点，它可以窃听合法用户的帐号、密码等敏感信息。这个预处理器可以向用户告警附近有个恶意访问点。

    除了上述之外，Snort Wireless包括许多预设的规则来满足更广范围的应用。根据你的实际应用网络情况，某些规则可能用起来非常顺手，例如如果你的网络中有一台Web服务器的话，其中具有几乎全部的Web规则。你只需要将想要Snort使用的规则进行发注释就可以。默认情况下，不同的规则被保存在/etc/snort/rules下，你可以在你喜欢的文本编辑器中查看这些规则。它们的格式与前面我们所说的规则相似，并且提供很好的示例来帮助你编写自己的规则。

一个端口扫描主机被一个Snort规则抓住并进行了日志记录