Snort作为一个IDS(入侵检测系统),是网络安全防御系统的一个重要组件,这里,记录下在Ubuntu18.04下的安装配置过程。
话不多说,直接开始吧!
环境
环境如下:
- Ubuntu18.04
- Snort 2.9.17
- daq2.0.7
- libpcap1.10.0
- LuaJIT
软件下载
下载daq和snort
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz
libpcap下载
进入官网下载libpcap:
libpcap下载
LuaJIT下载
到官网下载:
LuaJIT下载
软件安装
依赖安装
安装bison 、flex,命令行输入:
sudo apt-get install bison flex
libpcap安装
在下载目录,解压:
tar -zxvf libpcap-1.10.0.tar.gz
进入到目录:
cd libpcap-1.10.0
然后三连:
./configure
sudo make
sudo make install
复制粘贴:
sudo cp /usr/local/lib/libpcap.* /usr/lib/
daq安装
在下载目录,解压后进入目录:
tar -zxvf daq-2.0.7.tar.gz
cd daq-2.0.7
然后三连:
./configure
sudo make
sudo make install
snort安装
首先安装依赖:
sudo apt-get install libpcre3-dev libdumbnet-dev zlib1g-dev
然后解压下载好的LuaJIT,进入目录,安装LuaJIT:
sudo make && make install
然后三连安装snort:
./configure --enable-sourcefire
如果报错的话执行:
./configure --enable-sourcefire --disable-open-appid
sudo make
sudo make install
Snort配置
新建文件夹:
sudo mkdir /etc/snort/rules
将snort-2.9.17/etc/snort.conf拷贝到 /etc/snort目录下:
sudo cp ./etc/snort.conf /etc/snort
去官网下载对应版本(我这里snort为2.9.17,则规则也下载2.9.17的版本)的规则文件(推荐注册一个账号下载完整版本):
下载snort规则
将规则解压拷贝进去:
sudo tar -xvzf community-rules.tar.gz -C /etc/snort/rules
测试运行
使用命令启动snort:
sudo snort
如果启动报错snort: error while loading shared libraries: libsfbpf.so.0: cannot open shared object file: No such file or directory,则运行命令:
sudo ldconfig
sudo snort
使用局域网内另一台主机ping该主机:
ping 192.168.25.138
可以看到监测到了该流量包:
snort运行
网友评论