centos7 下配置snort2.9 以及使用
先安装依赖文件
yum -y install epel-release //需要epel源 yum -y install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump yum -y install nghttp2 yum -y install glibc-headers g++ //后面安装ilbdnet-1.11.tar.gz需要 yum -y install openssl openssl-devel //后面安装snort 2.9时需要
下载单独文件
wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz
daq和snort版本存在更新,下载地址:https://www.snort.org/downloads/ wegt https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz wegt https://www.snort.org/downloads/snort/snort-2.9.17.1.tar.gz
daq 依赖文件,下载地址:http://luajit.org/download/
wegt http://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz
解压五个压缩包
tar -zxvf libdnet-1.11.tar.gz tar -zxvf libpcap-1.9.0.tar.gz tar -zxvf daq-2.0.7.tar.gz tar -zxvf snort-2.9.17.1.tar.gz
tar -zxvg LuaJIT-2.1.0-beta3.tar.gz
编译安装顺序
先进入 libpcap-1.9.0 目录 ./configure make && make install 然后进入 libdnet-1.11目录 ./configure make && make install 接着进入 daq-2.0.7目录 ./configure make && make install 再然后进入 LuaJIT-2.1.0-beta3目录 cd src make cd .. //返回上一层 make install 最后进入snort-2.9.17.1目录 ./configure --enable-sourcefire make && make install
最后直接snort 执行,不报错并持续输出即为成功
还有建立snort用户分配权限,已经修改配置文件,指定所在目录的(麻烦就不去搞了)
snort用户创建参考:
Snort有 三种工作模式:嗅探器、数据包记录器、网络入侵检测系统模式。
嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
数据包记录器模式把数 据包记录到硬盘上。网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
网络入侵检测系统模式是最复杂的,而且是可 配置的。
嗅探器模式下-- snort报警测试
snort -i ens33 -A fast // -i 设置网络接口 -A 设置报警模式,full/fast/none/unsock
ping服务器
成功监控并发出warning
参考:
centos7安装snort:https://blog.csdn.net/xiaopan233/article/details/83478356