IDS之snort安装避坑指南
鉴于很多大佬都有写过很多类似的文章,本文主要讲snort安装时遇到的坑,坑,坑!解决这些坑,探索一种成功率较高的安装方法。
一、软件版本、系统环境
环境:Kali 2022.1
软件版本:daq-2.0.7、snort-2.9.20
二、搭建环境的准备
1.在正式的安装开始前为避免不必要的麻烦,可以在安装snort前先执行 sudo apt-get update 对软件下载源进行更新。
2.一般情况下默认的软件源也是可以用的,但凡事都有个万一,若是遇到,建议将系统的源换为国内的,方法为
pip install -i +源 +安装包
如下几个源作为参考清华:https://pypi.tuna.tsinghua.edu.cn/simple阿里云:http://mirrors.aliyun.com/pypi/simple/中国科技大学 https://pypi.mirrors.ustc.edu.cn/simple/
这种换源方式偶尔几次使用还可以,如果要默认使用这些源进行下载则需要更改linux系统中的软件源配置文件,具体方法,前人之述备矣。
三、正式安装
1.daq安装
(1)daq安装依赖包
snort的工作依赖于daq–数据采集模块,而数据采集模块需要三个库,安装方法如下:
sudo apt-get install flex --词法分析器
词法分析器会将输入序列与定义的常规表达式匹配,匹配往往会返回标记。
sudo apt-get install bison --语法分析器
语法分析器在查看到某个标记序列时,可能会触发某些动作,这便是语法。
sudo aptitude install libpcap-dev
Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包。
(2)daq下载安装
daq数据采集模块安装
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz 下载daq源码tar xvzf daq-2.0.7.tar.gz --解压cd daq-2.0.7 --进入目录./configure && make && sudo make install --执行编译
2.snort安装
(1)snort依赖安装
sudo aptitude install libpcre3-dev --直接下载sudo aptitude install libdumbnet-dev --直接下载sudo aptitude install zlib1g-dev --直接下载sudo apt install openssl --直接下载sudo apt-get install libssl-dev -直接下载
wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz --下载LuaJIT源码tar -zxvf LuaJIT-2.0.5.tar.gz --解压cd LuaJIT-2.0.5/ --进入解压后的目录 sudo make && sudo make install --编译
(2)下载安装snort
在下载Snort之前需要到官网看下Snort的当前版本,对应官网当前的版本进行下载,否则无法下载。
官网地址:https://www.snort.org/
在正式开始编译前我们需要把/usr/include/tirpc/rpc/ 目录下的文件拷贝到/usr/include/
cp -r /usr/include/tirpc/rpc/ /usr/include/
cp /usr/include/tirpc/netconfig.h /usr/include/rpc
之后:
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz --下载snort源码
tar xvzf snort-2.9.20.tar.gz ---解压
cd snort-2.9.20 --进入解压目录
./configure --enable-sourcefire && make && sudo make install --编译安装
敲黑板,敲黑板,敲黑板...
如果编译报错,尝试替换编译命令:
./configure --disable-open-appid --enable-sourcefire && make && sudo make install
运行snort -v命令出现小猪标志说明成功了,你可以来罐可乐庆祝下,但万里长征才刚刚开始。
四、总结
在我们装软件时总会出现奇奇怪怪的BUG,这时候除了必要的上根香火,最重要的就是看出错的原因,然后对症下药。
``
