Snort安裝與配置方法

本篇內容主要講解“Snort安裝與配置方法”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“Snort安裝與配置方法”吧!

簡介

Snort是一個多平臺(Multi-Platform)，實時(Real-Time)流量分析，網絡IP數據包(Pocket)記錄等特性的強大的網絡入侵檢測/防御系統(Network Intrusion Detection/Prevention System)，即NIDS/NIPS。

Snort采用規則匹配機制檢測網絡分組是否違反了事先配置的安全策略。安裝在一臺主機上就可以監測整個共享網段，一旦發現入侵和探測行為，即有將報警信息發送到系統日志、報警文件或控制臺屏幕等多種實時報警方式。Snort不僅能夠檢測各種網絡攻擊，還具有網絡分組采集、分析和日志記錄功能。相對于昂貴與龐大的商用產品而言，Snort 具有系統規模小、容易安裝、容易配置、規則靈活和插件（plug-in）擴展等諸多優點。

組成

Snort主要由分組協議分析器、入侵檢測引擎、日志記錄和報警模塊組成。協議分析器的任務就是對協議棧上的分組進行協議解析，以便提交給入侵檢測引擎進行規則匹配。入侵檢測引擎根據規則文件匹配分組特征，當分組特征滿足檢測規則時，觸發指定的響應操作。日志記錄將解析后的分組以文本或 Tcpdump 二進制格式記錄到日志文件，文本格式便于分組分析，二進制格式提高記錄速度。報警信息可以發送到系統日志；也可以采用文本或 Tcpdump 二進制格式發送到報警文件；也容許選擇關閉報警操作。記錄到報警文件的報警信息有完全和快速兩種方式，完全報警記錄分組首部所有字段信息和報警信息，而快速報警只記錄分組首部部分字段信息。

環境介紹：
虛擬機：Centos7 
Snort官網：https://www.snort.org/downloads    #下載dap和snort
dap:https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
snort:https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz

Centos7最小化安裝--開啟網絡
1、ip addr    #查看網卡名稱
2、cd /etc/sysconfig/network-scripts/    #進入網卡配置文件的目錄
3、vi ifcfg-enXXX
4、找到ONBOOT=no ，修改為ONBOOT=yes然后保存退出
5、service network restart #重啟網卡服務，不行的話用systemctl restart network
6、ip addr #查看是否分配到IP地址
7、yum install net-tools    #安裝net-tools包，該包提供ifconfig命令
8、ifconfig        #確認IP，方便通過SSH軟件進行登陸操作

Snort相關依賴下載及安裝
yum install -y gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump openssl openssl-devel
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz

#解壓縮到/usr/local/下
tar -zxvf daq-2.0.7.tar.gz -C /usr/local/
tar -zxvf snort-2.9.17.tar.gz -C /usr/local/
tar -zxvf LuaJIT-2.0.5.tar.gz -C /usr/local/

cd /usr/local/
#daq安裝
cd daq-2.0.7/
./configure && make && sudo make install
#LuaJIT安裝
cd LuaJIT-2.0.5/
make install
#snort安裝
cd snort-2.9.17/
./configure --enable-sourcefire && make && sudo make install

#創建Snort目錄：
mkdir rules
mkdir rules/iplists
mkdir /usr/local/lib/snort_dynamicrules
mkdir so_rules

#創建一些存儲規則和ip列表的文件
touch rules/iplists/black_list.rules
touch rules/iplists/white_list.rules
touch rules/local.rules
touch sid-msg.map

#創建日志目錄：
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs

#修改配置文件，將 HOME_NET 更改為自己主機所在的IP段
vi /usr/local/snort-2.9.17/etc
ipvar HOME_NET 192.168.0.0/24    #在45行，輸入：set number可顯示行號

var RULE_PATH /usr/local/snort-2.9.17/rules
var SO_RULE_PATH /usr/local/snort-2.9.17/so_rules
var PREPROC_RULE_PATH /usr/local/snort-2.9.17/preproc_rules
var WHITE_LIST_PATH /usr/local/snort-2.9.17/rules/iplists
var BLACK_LIST_PATH /usr/local/snort-2.9.17/rules/iplists

include $RULE_PATH/local.rules    #在550行左右，開啟local.rules，默認是開啟的

注：實際上在include $RULE_PATH/local.rules下面還開啟了很多規則，由于未配置，因此運行時會報錯，需要注釋掉

#測試ping規則
vi /usr/local/snort-2.9.17/rules/local.rules
輸入：alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)
#啟動規則，通過ifconfig確認好你的網卡是ethXX還是ensXXX
sudo /usr/local/bin/snort -A console -q -c /usr/local/snort-2.9.17/etc/snort.conf -i ens192

到此，相信大家對“Snort安裝與配置方法”有了更深的了解，不妨來實際操作一番吧！這里是億速云網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！