Linux安全之安装Snort(轻量级入侵检测系统)与使用

入侵检测系统（IDS）

1、原理
入侵检测系统（IntrusionDetectionSystem,IDS）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统监测攻击行为，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，能够在不影响网络性能的情况下能对网络进行监测，防止或减轻上述的网络威胁。
入侵检测系统有很多种，从部署的位置可以分为以下几种：
◆基于网络的系统，它放置于网络之上，靠近被检测的系统，它们监测网络流量并判断是否正常。
◆基于主机的系统，其经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。
◆最近出现的一种系统，位于操作系统的内核之中，并监测系统的最底层行为。
从检测的技术手段上可以分为以下两种：
◆误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较，如果发现有攻击特征，则判断有攻击。特征知识库是将己知的攻击方法和技术的特征提取出来建立的一个知识库。
◆异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同，这样发现与正常行为有不同时，则判断存在攻击。它需要建立正常行为的标准，如登录时错误次数为多少时视为正常。
相比而言，误用检测的原理简单，很容易配置，特征知识库也容易扩充。但它存在一个致命的弱点――只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术，但是其问题在于正常行为标准只能采用人工智能、机器学习算法等来生成，并且需要大量的数据和时间，同时，由于现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。

下面将要演示的 Snort 就是一个基于网络的、采用误用分析技术的入侵检测系统。作为一个轻量级的入侵检测系统，snort功能算是单一，配置复杂，有利于入侵检测系统源码研究与规则编写。snort规则动作有五种，常用为报警、忽略、记录等

一 . 安装snort 运行所需各种依赖

所用到的各种依赖作用 

// 可一次性下载
sudo yum install flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump
 
// 该部分依赖 必须下载
yum  install gcc-c++            : 编译器 
yum  install flex            : DAQ所需的解析器
yum  install bison            : DAQ所需的解析器
yum  install zlib-dev            : Snort所需的压缩库
yum  install libpcap-dev            : Snort所需的网络流量捕获头文件库
yum  install libdnet-dev            : 不是必要的,只是snort为几个网络历程提供了简化的可移植接口
yum  install pcre-dev            : Snort所需的pcre3的头文件
yum  install tcpdump            : 截取网络分组，并输出分组内容的工具

// 以下暂可不用
yum  install luajit            : lua的头文件库headers
yum  install liblua5.1-0-dev
yum  install liblua5.1-0-dev liblua50-dev liblualib50-dev
yum  install build-essential            : 提供编译软件的构建工具
yum  install libdumbnet-dev            : 同libdnet
yum  install openssl libssl-dev            : ssl的加密组件,提供SHA和MD5文件签名

一 ) : 、 安装源码 libpcap

// 下载 libpcap 源码
wget http://www.tcpdump.org/release/libpcap-1.7.4.tar.gz

// 解压并安装 libpcap 依次执行以下命令

tar -zxvf libpcap-1.7.4.tar.gz  // 解压压缩包
// cd 至刚解压好的文件夹内
./configure    // 对即将安装的软件进行配置,检查当前的环境是否满足要安装软件的依赖关系
sudo make     // 编译
sudo make install   // 安装
sudo cp /usr/local/lib/libpcap.* /usr/lib/   // 拷贝文件

二  ) : 、 安装 DAQ 

snort从2.9.0版本开始引入了daq(packet acquisition), 该模块实际上是一个抽象层专门为报文处理服务(独立了报文获取部分和主体代码部分)  , 作为snort的子包，daq 支持snort与防火墙进行数据交互

// 安装依赖 daq  如果 使用wget 下载资源速度过慢 可以采用 本地下载好再上传至 linux 
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

// 解压 DAQ
tar -zxvf daq-2.0.6.tar.gz

// cd 至刚解压好的文件夹内
./configure
make // 编译
make install // 安装

到此为止安装DAQ成功。

二 、下载并安装snort

// 下载snort   
// 注意 该版本后期版本 不知道为何 编译时会出现make 无法使用的问题
// 最起码我目前还不知道具体原因  由于时间问题 也暂时没去研究 干脆不用最新版本(最新版本为3.0)
wget https://www.snort.org/downloads/archive/snort/snort-2.9.8.0.tar.gz

// 预检  配置
./configure --enable-sourcefire

// 编译 
make 

// 安装
make install

snort会被安装到，如下目录：

snort: /usr/local/bin/snort /usr/local/lib/snort

一 ) : 、更新共享库

ldconfig 

ln -s /usr/local/bin/snort /usr/sbin/snort 

snort -V

此时出现下图小猪 , 就说明安装成功了.