Snort安装与使用,本文介绍Snort的编译安装步骤及配置文件修改和自定义规则集进行报文验证。
1、安装所需要的软件包如下:依次解压安装即可 tar zxvf xx.tar.gz ./configure ;make ;make install
-rw-r--r--. 1 root root 419752 12?.19 15:26 libdnet-1.10.tar.gz
-rw-r--r--. 1 root root 425887 12?.19 2013 libpcap-0.9.4.tar.gz
-rw-r--r--. 1 root root 496597 12?.19 15:35 zlib-1.2.3.tar.gz
-rw-r--r--. 1 root root 495316 12?.19 15:34 daq-2.0.4.tar.gz
-rw-r--r--. 1 root root 5229232 12?.19 15:04 snort-2.9.6.2.tar.gz
2、安装完成后运行snort -dev可以查看到网卡正在捕获的报文信息
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
12/24-14:56:26.012160 10:60:4B:74:8A:89 -> 00:0C:29:6C:3E:B8 type:0x800 len:0x3C
192.168.16.70:8176 -> 192.168.16.71:22 TCP TTL:64 TOS:0x0 ID:8442 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x5098B207 Ack: 0xF40837B6 Win: 0xFAF0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
负载数据等....................
3、进入解压后的snort目录,修改snort所在目录etc/snort.conf文件,修改前请备份,将如下规则集(snort.conf下面的规则包含文件)内容全部删除,只添加一行 include $RULE_PATH/test.rules。
通过搜索查看$RULE_PATH为var RULE_PATH