Snort入侵检测系统
一、工作原理
- 包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构中,以便对高层次的协议进行解码,如TCO和UDP端口;
- 预处理插件:接着。数据包被发送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西;
- 规则解析和检测引擎;然后,包被送到检测引擎,检测引擎通过各种规则文件中的不同选项对每个包的特征和包信息进行单一、简单的检测。检测引擎插件对包提供额外的检测功能,规则中的每个关键字选项对应于检测引擎插件,能够提供不同的检测功能;
- 输出插件:Snort通过检测引擎、预处理和解码引擎输出报警。
二、安装
1、更新源
(1)提升root权限 sudo su
(2)编辑源文件:gedit /etc/apt/sources.list
(3)apt-get update
(4)apt-get upgrade
2、安装snort所需要的依赖包
(1)安装所需的头文件库
apt-get install gcc
apt-get install flex
apt-get install bison
apt-get install zlib1g-dev
apt-get install libpcap-dev
apt-get install libdnet-dev
apt-get install luajit
apt-get install liblua5.1-0-dev
apt-get install liblua5.1-0-dev liblua50-dev liblualib50-dev
apt-get install build-essential
apt-get install libpcre3-dev
apt-get install libdumbnet-dev
apt-get