本篇內(nèi)容主要講解“Snort安裝與配置方法”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“Snort安裝與配置方法”吧!

成都網(wǎng)絡(luò)公司-成都網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)10年經(jīng)驗成就非凡，專業(yè)從事網(wǎng)站制作、成都網(wǎng)站設(shè)計，成都網(wǎng)頁設(shè)計，成都網(wǎng)頁制作，軟文發(fā)布平臺，廣告投放平臺等。10年來已成功提供全面的成都網(wǎng)站建設(shè)方案，打造行業(yè)特色的成都網(wǎng)站建設(shè)案例，建站熱線：028-86922220，我們期待您的來電！

簡介

Snort是一個多平臺(Multi-Platform)，實時(Real-Time)流量分析，網(wǎng)絡(luò)IP數(shù)據(jù)包(Pocket)記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢測/防御系統(tǒng)(Network Intrusion Detection/Prevention System)，即NIDS/NIPS。

Snort采用規(guī)則匹配機(jī)制檢測網(wǎng)絡(luò)分組是否違反了事先配置的安全策略。安裝在一臺主機(jī)上就可以監(jiān)測整個共享網(wǎng)段，一旦發(fā)現(xiàn)入侵和探測行為，即有將報警信息發(fā)送到系統(tǒng)日志、報警文件或控制臺屏幕等多種實時報警方式。Snort不僅能夠檢測各種網(wǎng)絡(luò)攻擊，還具有網(wǎng)絡(luò)分組采集、分析和日志記錄功能。相對于昂貴與龐大的商用產(chǎn)品而言，Snort 具有系統(tǒng)規(guī)模小、容易安裝、容易配置、規(guī)則靈活和插件（plug-in）擴(kuò)展等諸多優(yōu)點。

組成

Snort主要由分組協(xié)議分析器、入侵檢測引擎、日志記錄和報警模塊組成。協(xié)議分析器的任務(wù)就是對協(xié)議棧上的分組進(jìn)行協(xié)議解析，以便提交給入侵檢測引擎進(jìn)行規(guī)則匹配。入侵檢測引擎根據(jù)規(guī)則文件匹配分組特征，當(dāng)分組特征滿足檢測規(guī)則時，觸發(fā)指定的響應(yīng)操作。日志記錄將解析后的分組以文本或 Tcpdump 二進(jìn)制格式記錄到日志文件，文本格式便于分組分析，二進(jìn)制格式提高記錄速度。報警信息可以發(fā)送到系統(tǒng)日志；也可以采用文本或 Tcpdump 二進(jìn)制格式發(fā)送到報警文件；也容許選擇關(guān)閉報警操作。記錄到報警文件的報警信息有完全和快速兩種方式，完全報警記錄分組首部所有字段信息和報警信息，而快速報警只記錄分組首部部分字段信息。

環(huán)境介紹：
虛擬機(jī)：Centos7 
Snort官網(wǎng)：https://www.snort.org/downloads    #下載dap和snort
dap:https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
snort:https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz

Centos7最小化安裝--開啟網(wǎng)絡(luò)
1、ip addr    #查看網(wǎng)卡名稱
2、cd /etc/sysconfig/network-scripts/    #進(jìn)入網(wǎng)卡配置文件的目錄
3、vi ifcfg-enXXX
4、找到ONBOOT=no ，修改為ONBOOT=yes然后保存退出
5、service network restart #重啟網(wǎng)卡服務(wù)，不行的話用systemctl restart network
6、ip addr #查看是否分配到IP地址
7、yum install net-tools    #安裝net-tools包，該包提供ifconfig命令
8、ifconfig        #確認(rèn)IP，方便通過SSH軟件進(jìn)行登陸操作

Snort相關(guān)依賴下載及安裝
yum install -y gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump openssl openssl-devel
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz
wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz

#解壓縮到/usr/local/下
tar -zxvf daq-2.0.7.tar.gz -C /usr/local/
tar -zxvf snort-2.9.17.tar.gz -C /usr/local/
tar -zxvf LuaJIT-2.0.5.tar.gz -C /usr/local/

cd /usr/local/
#daq安裝
cd daq-2.0.7/
./configure && make && sudo make install
#LuaJIT安裝
cd LuaJIT-2.0.5/
make install
#snort安裝
cd snort-2.9.17/
./configure --enable-sourcefire && make && sudo make install

#創(chuàng)建Snort目錄：
mkdir rules
mkdir rules/iplists
mkdir /usr/local/lib/snort_dynamicrules
mkdir so_rules

#創(chuàng)建一些存儲規(guī)則和ip列表的文件
touch rules/iplists/black_list.rules
touch rules/iplists/white_list.rules
touch rules/local.rules
touch sid-msg.map

#創(chuàng)建日志目錄：
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs

#修改配置文件，將 HOME_NET 更改為自己主機(jī)所在的IP段
vi /usr/local/snort-2.9.17/etc
ipvar HOME_NET 192.168.0.0/24    #在45行，輸入：set number可顯示行號

var RULE_PATH /usr/local/snort-2.9.17/rules
var SO_RULE_PATH /usr/local/snort-2.9.17/so_rules
var PREPROC_RULE_PATH /usr/local/snort-2.9.17/preproc_rules
var WHITE_LIST_PATH /usr/local/snort-2.9.17/rules/iplists
var BLACK_LIST_PATH /usr/local/snort-2.9.17/rules/iplists

include $RULE_PATH/local.rules    #在550行左右，開啟local.rules，默認(rèn)是開啟的

注：實際上在include $RULE_PATH/local.rules下面還開啟了很多規(guī)則，由于未配置，因此運行時會報錯，需要注釋掉

#測試ping規(guī)則
vi /usr/local/snort-2.9.17/rules/local.rules
輸入：alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)
#啟動規(guī)則，通過ifconfig確認(rèn)好你的網(wǎng)卡是ethXX還是ensXXX
sudo /usr/local/bin/snort -A console -q -c /usr/local/snort-2.9.17/etc/snort.conf -i ens192

到此，相信大家對“Snort安裝與配置方法”有了更深的了解，不妨來實際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！