snort2安装(Ubuntu)

已于 2024-04-25 18:02:11 修改
阅读量58 收藏
点赞数
文章标签: ubuntu
于 2024-04-25 16:43:38 首次发布
原文链接:https://blog.csdn.net/Ananas_Orangey/article/details/122542065
版权

目录

1、安装

问题一 没有rpc.h文件

2、配置文件

3、修改配置

4、联动准备

1、安装

参考链接https://blog.csdn.net/Ananas_Orangey/article/details/122542065

apt-get install gcc					: 编译器,如果报错,apt-get install g++
apt-get install flex				: DAQ所需的解析器
apt-get install bison				: DAQ所需的解析器
apt-get install zlib1g-dev			: Snort所需的压缩库
apt-get install libpcap-dev    		: Snort所需的网络流量捕获头文件库
apt-get install libdnet-dev			: 不是必要的,只是snort为几个网络历程提供了简化的可移植接口
apt-get install luajit   			: lua的头文件库headers
apt-get install liblua5.1-0-dev
apt-get install liblua5.1-0-dev liblua50-dev liblualib50-dev
apt-get install build-essential		: 提供编译软件的构建工具
apt-get install libpcre3-dev		: Snort所需的pcre3的头文件
apt-get install libdumbnet-dev		: 同libdnet
apt-get install openssl libssl-dev	: ssl的加密组件,提供SHA和MD5文件签名
apt-cache search lua

sudo apt-get update -y
sudo apt-get upgrade -y
sudo apt-get install gcc -y
sudo apt-get install flex -y
sudo apt-get install bison -y
sudo apt-get install zlib1g-dev -y
sudo apt-get install libpcap-dev -y
sudo apt-get install libdnet-dev -y
sudo apt-get install luajit -y
sudo apt-get install liblua5.1-0-dev liblua50-dev liblualib50-dev -y
sudo apt-get install build-essential -y
sudo apt-get install libpcre3-dev -y
sudo apt-get install libdumbnet-dev -y
sudo apt-get install openssl libssl-dev -y
sudo apt-cache search lua -y

cd ~/2
wget https://www.tcpdump.org/release/libpcap-1.10.1.tar.gz
tar -zxvf libpcap-1.10.1.tar.gz
cd libpcap-1.10.1
./configure && make && make install

cd ..
wget https://github.com/nghttp2/nghttp2/releases/download/v1.46.0/nghttp2-1.46.0.tar.gz
tar -zxvf nghttp2-1.46.0.tar.gz
cd nghttp2-1.46.0
./configure && make && make install

cd ..
wget https://luajit.org/download/LuaJIT-2.0.5.tar.gz
tar -zxvf LuaJIT-2.0.5.tar.gz
cd LuaJIT-2.0.5
make && make install (ps:无./configure)

cd ..
wget https://sourceforge.net/projects/pcre/files/pcre/8.45/pcre-8.45.tar.gz
tar -zxvf pcre-8.45.tar.gz
cd pcre-8.45
./configure && make && make install

cd ..
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
tar xvzf daq-2.0.7.tar.gz              
cd daq-2.0.7
./configure && make && sudo make install

cd ..
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
tar xvzf snort-2.9.20.tar.gz             
cd snort-2.9.19
./configure --enable-sourcefire && make && sudo make install

编译出错请使用如下命令
./configure --disable-open-appid  && make && sudo make install

问题一 没有rpc.h文件

cp /usr/include/tirpc/rpc/* /usr/include/rpc/
sudo ldconfig
ln -s /usr/local/bin/snort /usr/sbin/snort
snort -V

2、配置文件

# Snort的安装目录
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/rules/iplists
sudo mkdir /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir /etc/snort/so_rules
			 
# 存储过滤规则和服务器黑白名单
sudo touch /etc/snort/rules/iplists/default.blacklist
sudo touch /etc/snort/rules/iplists/default.whitelist
sudo touch /etc/snort/rules/local.rules
			 
# 创建日志目录
sudo mkdir /var/log/snort
sudo mkdir /var/log/snort/archived_logs
			 
# 调整权限
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
			 
# 改变文件夹属主
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules


			classification.config	: 描述了Snort理解的攻击分类类型(将规则分组为这些类型的分类),例如木马活动或系统调用检测。分类列表可以在Snort手册的第3.4.6节中找到
			file_magic.conf			: 描述了用于标识文件类型的规则
			reference.config		: 包含提供有关警报的更多信息的规则中引用的URL
			snort.conf				: 是Snort的配置文件,它告诉Snort资源的位置,以及如何输出警报等
			threshold.conf			: 允许您控制生成警报所需的事件数,这有助于抑制噪声警报
			gen-msg.map				: 告诉Snort哪个规则使用哪个预处理器,更多信息在这里。
			unicode.map				: 提供Unicode语言和标识符之间的映,nSnort需要此文件才能启动。

sudo cp ~/snort2/snort-2.9.20/etc/*.conf* /etc/snort
sudo cp ~/snort2/snort-2.9.20/etc/*.map /etc/snort
sudo cp ~/snort2/snort-2.9.20/etc/*.dtd /etc/snort
sudo cp ~/snort2/snort-2.9.20/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/* /usr/local/lib/snort_dynamicpreprocessor/

3、修改配置

编辑snort.conf (ps:现在你的snort.conf在/etc/snort/下)
sudo vi /etc/snort/snort.conf
1. 修改一些文件的路径,你可以搜索RULE_PATH,然后将下面几个路径改为如下(104行开始)
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

# If you are using reputation preprocessor set these
var WHITE_LIST_PATH /etc/snort/rules/iplists/
var BLACK_LIST_PATH /etc/snort/rules/iplists/
2. 打开文件过滤规则包含,去掉开头的#号(546行)
			include $RULE_PATH/local.rules
3. 修改配置文件让黑白名单生效(511行)
whitelist $WHITE_LIST_PATH/default.whitelist, \
blacklist $BLACK_LIST_PATH/default.blacklist
4.(659行)
include $PREPROC_RULE_PATH/preprocessor.rules(注释去掉)
include $PREPROC_RULE_PATH/decoder.rules(注释去掉)
include $PREPROC_RULE_PATH/sensitive-data.rules(注释去掉)

(我个人直接从snort官网上下载,参考的链接上下的貌似不完整)
tar zxvf snortrules-snapshot-29190.tar.gz -C /etc/snort
cp /etc/snort/so_rules/precompiled/Ubuntu-22-04/x86-64/2.9.20.0/* /usr/local/lib/snort_dynamicrules/

sudo snort -T -c /etc/snort/snort.conf 

......
Snort successfully validated the configuration!
Snort exiting

4、联动准备

参考链接https://blog.csdn.net/hexf9632/article/details/98200876

touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
 groupadd -g 40000 snort
 useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
 cd /etc/snort
 chown -R snort.snort *
 chown -R snort.snort /var/log/snort

snort -c /etc/snort/snort.conf --dump-dynamic-rules=/etc/snort/so_rules
# touch /var/log/snort/alert
# cd /var/log/snort
# chown snort.snort alert
# chmod 700 alert

 snort -T -c /etc/snort/snort.conf -i ens33

启动snort

snort -c /etc/snort/snort.conf -i ens33

停止snort

 ps -ef | grep snort
 kill -9 pid

『F╰お╯X』
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Ubuntu 22.04安装配置snort
RBK的博客
03-28 3417
最近出现的一种系统,位于操作系统的内核之中,并监测系统的最底层行为。 从检测的技术手段上可以分为以下两种:相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充。但它存在一个致命的弱点――只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,但是其问题在于正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,由于现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。安装依赖 安装DAQ,这个是什么数据采集库
snort安装指南
12-29
从官网找到,snort最新版安装指南,英文版,操作系统ubuntu,我未实际操作
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中
入侵检测系统Snort安装、配置与测试
最新发布
haohello_world的博客
12-08 1633
查看网关地址和mac地址: arp -a。
Ubuntu安装和配置Snort 3 NIDS
m0_59598029的博客
02-28 1417
在本教程中,你将学习如何在上安装和配置Snort3NIDS。Snort是一个轻量级的网络入侵检测系统。它具有基于规则的日志记录功能,除了检测各种攻击和扫描(如缓冲区溢出、端口扫描、CGI攻击、SMB探测等)之外,还可以执行内容搜索/匹配。Snort具有实时警报功能,可以将警报发送到syslog或者记录为一个单独的“警报”文件,甚至通过Samba发送到Windows计算机。Snort 3支持多线程共享配置和属性表使用简单的、脚本化配置关键组件可热插拔无端口配置的自动检测服务。
Ubuntu 上部署 Snort 入侵检测系统
LJL1603的专栏
01-19 1797
目录1. 介绍2. 安装过程3. 总结4. 参考文章1. 介绍Snort 是一款非常优秀的开源主机入侵检测系统软件,可以用来对主机的网络状况进行记录、分析和报警,并且支持用户自定义规则库。Snort 在 Windows 平台和 Linux 平台上均可运行,详细介绍请访问 Snort 的官方网站:http://www.snort.org 。Snort的默认记录是存
Ubuntu 15.04 中如何安装和使用 Snort
weixin_34348174的博客
05-02 490
对于网络安全而言入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络中非法与恶意的请求。Snort是一款知名的开源的入侵检测系统。其 Web界面(Snorby)可以用于更好地分析警告。Snort使用iptables/pf防火墙来作为入侵检测系统。本篇中,我们会安装并配置一个开源的入侵检测系统snortSnort 安装 要求 snort...
windows下安装snort,以及简单使用
LainWith的博客
09-15 9199
环境准备配置环境变量启动snort配置规则排雷小试牛刀编写规则捕获并过滤出命令注入的数据包分析数据包查看结果 环境准备 在虚拟机win7下安装snort 准备软件: 疯狂下一步,没什么好说的 snort: https://www.snort.org/downloads npcap:https://nmap.org/npcap/ 完事后,你可以在C盘下看到snort 配置环境变量 这一步的主要作用是为了避免非得跑到snort的bin目录下才能运行snort,配置了环境变量你可以在任意位置运行snor.
ubuntu12.04安装snort文档
11-18
ubuntu12.04安装snort文档
ubuntusnort inline源码安装
01-11
ubuntu下以inline的模式安装snort,实现IPS。里面包含所需要的源文件,自己试过两次都是成功的。里面sonrt_inline的版本可以根据自己的需要来换。
ubuntu 12.04上安装snort 2.9.3安装手册
06-27
ubuntu 12.04上安装snort 2.9.3安装手册
Snort_3.0.0-a4-241_on_Ubuntu_14_and_16.pdf
02-09
snort官网下载的,译文可参考我的博客文章http://blog.csdn.net/m0_37739193/article/details/79290631
Windows下手把手教Snort安装与配置教程
热门推荐
橙留香Park的博客
02-07 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Linux 启动snort服务,在 Ubuntu 15.04 中如何安装和使用 Snort
weixin_42701905的博客
05-10 389
对于网络安全而言入侵检测是一件非常重要的事。入侵检测系统(IDS)用于检测网络中非法与恶意的请求。Snort是一款知名的开源的入侵检测系统。其 Web界面(Snorby)可以用于更好地分析警告。Snort使用iptables/pf防火墙来作为入侵检测系统。本篇中,我们会安装并配置一个开源的入侵检测系统snortSnort 安装要求snort所使用的数据采集库(DAQ)用于一个调用包捕获库的抽象层...
Ubuntu18.04 安装 Snort
有理论,有实验,有结论,可为一篇文章
03-18 1040
1 安装程序 安装依赖 $ sudo apt-get install -y build-essential $ sudo apt-get install -y bison flex $ sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev 创建源码目录 $ mkdir /home/xxx/snort_src $ cd /home/xxx/snort_src 安装 libpcap $ wget http://www.tcpdump.
ubuntu安装snort
bob的博客
07-14 889
教程:ubuntu16.04安装snort注意:需要在root用户下执行 最后在执行./snort的时候出了错误,如下: snort:error while loading shared libraries : libsfbpf.so.0 :cannot open shared 0bject file : No such file or directory 解决办法: 执行ldconfi...
UbuntuSnort安装
weixin_34344403的博客
05-12 1265
实验环境1.主机:奔腾T4400 双核 2.2GHz2.VM版本:Vmware Workstation 9.23.Linux发行版:Ubuntu 12.04.Linux内核版本:3.165.Snort版本:2.9步骤:1.安装完成ubuntu之后进行升级:apt-get update;2.安装所需要的软件;Sudo apt-get install libpcap0.8-dev...
ubuntu安装snort
千里之行 始于足下
05-28 1650
由于任务需要,在ubuntu安装snort
Ubuntu安装Snort
04-06
以下是在Ubuntu安装Snort的步骤: 1. 打开终端并输入以下命令以更新软件包列表: sudo apt-get update 2. 安装Snort: sudo apt-get install snort 3. 安装Barnyard2(Snort的输出插件): sudo apt-get install barnyard2 4. 创建Snort的配置文件: sudo cp /etc/snort/snort.conf /etc/snort/snort.conf.bak 5. 打开Snort的配置文件并进行必要的更改: sudo nano /etc/snort/snort.conf 6. 启动Snort: sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf 7. 在另一个终端窗口中启动Barnyard2: sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -D 现在,Snort已成功安装并正在运行。您可以使用以下命令检查Snort是否正在运行: sudo ps -ef | grep snort 您还可以在/var/log/snort目录中查看日志文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值