一、工作模式及原理
- 嗅探器:嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
- 数据包记录器:数据包记录器模式把数据包记录到硬盘上。
- 网络入侵检测系统:分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
- 通常分为三层工作:传感器层、服务器层、管理员控制台层,分别对应上面的三个模式
二、工作工程
- 预处理
a、Snort通过在网络TCP/IP的第5层结构的数据链路层进行抓取网络数据包;
b、 将捕获的数据包送到包解码器进行解码。网络中的数据包有可能是以太网包、令牌环包、TCP/IP包c 802.11包等格式。在这一过程包解码器将其解码成Snort认识的统一的格式;
c、将数据包送到预处理器进行处理,预处理包括能分片的数据包进行重 新组装,处理一些明显的错误等问题; - 处理:规则的建立及根据规则进行检测
规则检测是Snort中最重要的部分,作用是检测数据包中是否包含有入侵行为。处理规则文件的时候,用三维链表来存规则信息以便和后面的数据包进行匹配,三维链表一旦构建好了,就通过某种方法查找三维链表并进行匹配和发生响应。规则检测的处理能力需要根据规则的数量,运行Snort机器的性能,网络负载等因素决定. - 输出
经过检测后的数据包需要以各种形式将结果进行输出,输出形式可以是输出到alert文件、其它日志文件、数据库UNIX域或Socke
三、安装
自动安装(可能需要安装依赖包)
#apt-get update
#apt-get dist-upgrade
#apt-get install snort
Configuring snort
注:用ifconfig查看端口编译安装
1)、依赖安装
安装libpcap
a、下载libpcap-1.5.3源码 并解压,然后编译安装
tar xzf libpcap-1.5.3.tar.gz
cd libpcap-1.5.3
./configure
make
sudo make install
注:默认安装在/usr/local下
b、设置路径: 将上面安装的libpcap的路径添加到path中
sudo vim /etc/ld.so.conf
Ctrl+G
Ctrl+i
/usr/local/lib
/usr/local/bi