Kali 下安装snort并且配置规则(保姆级教学)

已于 2023-04-20 22:40:26 修改
阅读量6k 收藏 71
点赞数 9
文章标签: linux 运维 服务器
于 2023-04-20 22:29:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67066346/article/details/130276172
版权
该文章提供了一步一步的Snort入侵检测系统在Linux环境下的安装教程,包括解决依赖问题、安装DAQ和LuaJIT库、处理编译错误,以及安装Apache、MySQL和PHP来配置相关服务。特别地,文章详细解释了如何处理缺少rpc.h头文件的致命错误,并给出了安装完成后配置Snort规则和启动服务的指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!

参照了以下作者的安装教程:

(11条消息) 开源入侵检测系统—Snort安装_Thgilil的博客-CSDN博客

(11条消息) bench.h:39:10: 致命错误:rpc/rpc.h:没有那个文件或目录-CSDN博客

(11条消息) snort 检测nmap_基于Kali的Snort配置和入侵检测测试_寻找猫的博客-CSDN博客

 下面便进入正题吧,以下是snort的安装第一步:

首先是先安装好以下几个包:
 

apt-get install flex
apt-get install bison
apt-get install libpcap-dev

apt-get isnatll libpcre3-dev
apt-get isnatll libpcre3-dev
apt-get install zlibig-dev

如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)

接着先去snort官网下载daq

 右键复制链接地址,接着输入以下指令:

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz

tar -zxvf daq-2.0.7.tar.gz

cd daq-2.0.7

./configure

make 

make install

接下来在安装snort前,我们先安装LuaJIT库

wget https://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz --no-check-certificate

tar -xvzf LuaJIT-2.1.0-beta3.tar.gz

cd LuaJIT-2.1.0-beta3/src 

make

cd .. 

make install

安装好后,我们便可以下载安装snort了,老样子,和装daq一样的,右键复制snort的链接网址,然后下载。

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz

tar -xvzf snort-2.9.20.tar.gz

cd snort-2.9.20.tar.gz

./configure --enable-sourcefire

make 

make install

会发现,报错了,这时按照提醒的安装openssl库

apt-get install openssl

再用./configure --enable-sourcefire指令安装snort时,我遇到了一个很奇怪的报错:

bench.h:39:10: 致命错误:rpc/rpc.h:没有那个文件或目录

这个报错折磨了我很久,后面发现了解决方法:

将/usr/include/tirpc/rpc/*复制到/usr/include/rpc/文件夹,解决了丢失rpc.h的问题,切记rpc下的所有文件都要复制过去,并且和rpc一个文件夹的另外两个文件需要复制到include目录下。

此时我们再用./configure --enable-sourcefire指令安装snort,会发现安装成功了。(判断是否成功可以用 snort -h指令判断)

但是,当我用snort -v 时会发现全是warning。要通过安装以下服务进行配置

首先安装 web 服务组件 LAMP
Apache

sudo systemctl start nginx

sudo systemctl status nginx //检测是否在运行

sudo apt-get install apache2

sudo systemctl start apache2

sudo systemctl start firewalld //启动防火墙

sudo systemctl enable firewalld //开机自动启动

//防火墙设置开启80端口
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

//查看80端口
apt-get install lsof

lsof -i:80

浏览器访问IP后出现Apache页面证明成功!

接下来安装Mysql

wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm

rpm -ivh mysql-community-release-el7-5.noarch.rpm

//检查是否安装成功
rpm -qa | grep mysql

//启动mysql服务
systemctl start mysqld.service
systemctl enable mysqld.service

//mysql 安全设置
mysql_secure_installation

然后安装PHP

apt install php
apt install php-mysql
apt install -y php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap 

//安装php后重启apache使其生效
systemctl restart httpd.service

此时我们的snort便成功下载好啦!接下来便是修改规则。

创建snort用户和组,其中snort为非特权用户

groupadd snort
useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

创建snort目录
 

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules


#创建储存规则文件
touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map

#创建日志目录
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs


#修改文件权限
chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules


#修改文件属主
chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules


#将配置文件从源文件复制到/etc/snort/中
cd /snort-2.9.18.1/etc/    # (进入snort安装目录,每个人可能不同)

cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort

cd /root/snort-2.9.18.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor
cp * /usr/local/lib/snort_dynamicpreprocessor/

配置规则

wget https://www.snort.org/downloads/community/community-rules.tar.gz

tar -xvzf community-rules.tar.gz

cp community-rules/* /etc/snort/rules/

vim /etc/snort/snort.conf

//在45行附近  ipvar HOME_NET <any>修改为本机的内部网络
ipvar HOME_NET <192.168.132>.1/24  //例如

//在104行附近  配置规则文件路径
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/prepproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists
var BLACK_LIST_PATH /etc/snort/rules/iplists

//在515行  output unified2:....... 之后添加
output unified2: filename snort.u2, limit 128

#546行,取消注释local.rules文件,后面的 include 文件均注释掉
include $RULE_PATH/local.rules
//记住,后面的全部注释掉,不然后面会报错

接着保存且退出,用以下指令检测是否成功

snort -T -c /etc/snort/snort.conf

 若出现以上红框部分则证明成功了。

接下来,便是实验部分了,以下是重点!!!

vim /etc/snort/rules/local.rules //打开规则文件,写入以下规则

//检测NMAP Ping扫描
alert icmp any any -> 192.168.132.128 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000001; rev: 1;)

//检测NMAP TCP扫描
alert tcp any any -> 192.168.132.128 any (msg: "NMAP TCP Scan";sid:10000002;rev:2;)

//检测NMAP UDP扫描
alert udp any any -> 192.168.132.128 any ( msg:"Nmap UDP Scan"; sid:10000003; rev:1; )

//检测访问 80 端口
alert tcp any any -> 192.168.132.128 80 (msg:"A test guys";reference:"A Robot";sid:1)

//检测NMAP XMAS扫描
alert tcp any any -> 192.168.132.128 any (msg:"Nmap XMAS Tree Scan"; flags:FPU; sid:1000004; rev:1; )

//检测Fing扫描
alert tcp any any -> 192.168.132.128 any (msg:"Nmap FIN Scan"; flags:F; sid:1000005; rev:1;)

保存退出后,先开一个终端用ifconfig -a指令查看自己的网络接口名称,比如我的是eth0

 接着输入snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0(切记这里换成你的接口名称) 激活snort控制台

以下便是对其部分操作实验返回的数据(没放全):

外界主机Ping目标靶机:

snort检测到的:

NMAP TCP 扫描

Snort反馈结果:

Nmap UDP扫描:

Snort检测结果:

好啦,希望以上的教程可以帮助到您!

relief721
关注
kali2021-3安装配置保姆教程(超详细)
dajnaj的博客
11-22 2万+
kali2021-3版本超详细保姆安装教程
Snort安装
Sherry_Rui的专栏
01-11 2470
1、下载文件 wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gzwget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz 2、解压安装 tar xvfz daq-2.0.6.tar.gzcd daq-2.0.6./configure; mak
Snort规则定义与测试
最新发布
m0_72892640的博客
03-22 984
本文详细介绍了snort规则,自定义了简单规则进行测试,并配置日志输出
Linux安裝snort
09-05
Linux安裝snortLinux安裝snortLinux安裝snortLinux安裝snortLinux安裝snort
kali虚拟机上安装Snort
weixin_54658101的博客
03-10 2660
kali虚拟机上snort安装
kali安装snort
wsbnwzy的博客
12-28 685
然后这个老外最后一句是运行不了的 最后一句换成这个。然后这个老外的-i 是错的 文件夹要用自己实际路径的。按照这个来 一定会报错。
kali安装配置snort以及简单实验
遇见你的注定的博客
05-26 9059
kali安装配置snort以及简单实验 一、kail上 snort安装 结构参考:https://blog.csdn.net/weixin_39625172/article/details/112415163这里是引用 预装daq所需程序 sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install libpcap-dev 安装daq wget https
如何在Kali安装snort
weixin_45150813的博客
06-09 3455
如何在Kali安装snort安装daq安装daq前的准备开始安装daq安装snort安装snort前的准备开始安装snort测试是否成功 安装daq 由于snort安装苦恼了很多人,自己也在snort安装上踩坑了,因此来帮助大家避避坑。大家安装snort一定要跟着这篇文章的流程走,不然会出错。 安装daq前的准备 首先在命令行上输入以下命令,这些命令都是为了安装daq的依赖程序。 sudo apt-get install flex sudo apt-get install bison sudo apt
2023最新版kali安装教程-保姆
08-01
《2023最新版kali安装教程-保姆详解》 Kali Linux是一款基于Debian的开源操作系统,专门用于网络安全审计和渗透测试。本文将详细介绍2023年最新版Kali Linux安装步骤,从下载镜像到在VMware上创建虚拟机,再到...
Kali或Debian系统安装JDK1.8保姆教程
CoffeMilk的博客
10-03 1447
Kali或Debian系统安装JDK1.8保姆教程
kali 安装配置,包含更新源、中文设置等
05-28
Kali Linux 安装配置知识点 Kali Linux 是一个基于 Debian 的 Linux 发行版,专门为数字 forensics 和渗透测试设计。安装配置 Kali Linux 需要了解一些基本概念和步骤,本文将详细介绍 Kali Linux 安装配置的知识...
Snort在Windows下的安装
07-18
Snort 是一套非常优秀的IDS和网络监测系统,值得大中型网络管理者和网络安全爱好人员去学习使用。
snort安装教程
12-02
Snort是一个免费的轻量网络入侵检测系统。它能够跨系统平台操作,自带的轻量的入侵检测工具可以用于监视小型的TCP/IP网络,在进行网络监视时,Snort能够把网络数据和规则进行模式匹配,从而检测出可能的入侵企图,使用统计学方法对网络数据进行异常检测。
snort安装指南
12-29
从官网找到,snort最新版安装指南,英文版,操作系统ubuntu,我未实际操作
snort 安装详解
08-27
snort+mysql 安装配置 Snort_Base_Minimal
安装snort时,无法定位——Kali机update时出现问题
xiannvyeye的博客
03-17 879
重新下载snort下载成功!(中间会遇到一个不兼容的问题,选择Y/I即可,忘记截图了)原因:数字签名出错导致,无法更新,根本原因是数字证书失效,解决方法见问题3的解决方法。①打开 /etc/apt/sources.list 文件。上述问题都解决后,再update一下,历经漫长的等待~②用#把默认官方源注释掉,添加正确的源。原因:源中不包含snort。解决方法:申请新证书。
kali安装配置snort实现简单的入侵检测
阿渌的博客札记
11-28 7981
kali安装配置snort实现简单的入侵检测 参考 kali安装配置snort以及简单实验(这篇是我安装过程中最为简洁的,也是错误较少的); Ubuntu 16.04安装snort含问题解决(示例代码)(这篇里面包含常见错误,虽然我出现的错误并没有解决); 前言 snort这个东西真的是魔鬼,前前后后在四个系统上安装了不知道多少次,最后终于在搭载了Ubuntu18的云服务器勉强安装完成。 安装失败的主要原因 网络不顺畅(这个也是以下很多原因出现的主要原因); 依赖环境安装不全; 配置失败的主要原因
云安全技术——Snort安装配置
ZL_1618的博客
03-17 1746
Snort是一个开源的网络入侵检测系统,主要用于监控网络数据包并检测可能的攻击行为。它可以实时分析网络流量,识别多种类型的网络攻击,如端口扫描、DoS攻击、入侵尝试等,并对这些攻击进行警告或阻止。1. Snort的工作原理:Snort使用规则引擎来检测网络流量中的攻击行为。它可以在三个不同的模式下运行:嗅探模式、包记录模式和网络入侵检测模式。2. Snort配置文件Snort配置文件包含全局设置、预处理器选项、输出选项以及规则集等。用户可以根据需要调整这些选项来满足自己的需求。3.
kali安装snort系统
02-19
Kali Linux 安装 Snort 入侵检测系统 (IDS) 的步骤可以分为以下几个部分: ### 1. 更新 Kali 系统 首先需要更新系统的软件包列表并升安装的软件包。 ```bash sudo apt update && sudo apt upgrade -y ``` ### 2. 安装依赖项 Snort 需要一些额外的支持库才能正常工作,下面命令会帮你一次性解决这个问题: ```bash sudo apt install build-essential libpcap-dev libpcre3-dev bison flex libyaml-0-2 uuid-dev python-pip git cmake zlib1g zlib1g-dev -y ``` ### 3. 下载并解压源码文件 访问 [Snort官方网站](https://www.snort.org/downloads#snort-rules)下载最新稳定版tarball压缩包。这里我们直接从官网链接获取它,并通过wget工具下载到本地机器上。 ```bash cd /usr/src/ sudo wget https://snort.org/downloads/snort/... sudo tar xvfz snort* cd snort*/ ``` 注意替换上面 URL 中`...`的部分为实际版本号对应的地址。 ### 4. 编译和配置 接下来按照官方提供的说明文档进行编译、测试及安装过程。 ```bash ./configure --enable-sourcefire make sudo make install ``` ### 5. 创建用户组和目录结构 为了让 Snort 更加安全地运行,创建专门用于它的非特权账户以及存放规则等数据的日志记录路径。 ```bash sudo groupadd snort sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort sudo mkdir /etc/snort sudo mkdir /var/log/snort sudo mkdir /usr/local/lib/snort_dynamicrules sudo touch /etc/snort/rules/snort.rules sudo chown -R snort:snort /etc/snort sudo chmod -R 775 /etc/snort sudo chown -R snort:snort /var/log/snort sudo ln -s /usr/local/bin/snort /usr/sbin/snort ``` ### 6. 获取免费规则集 注册成为 Oinkcode 用户后就可以合法使用最新的社区贡献型规则了! 进入[此页面](https://www.snort.org/oinkmaster)按提示操作取得密钥再利用 oinkmaster 来拉取所需资源: ```bash export OINKCODE="Your_Oink_Code" sudo oinkmaster -o /etc/snort/rules -C <(echo "url server http:// rules.emergingthreats.net") ``` 最后别忘了编辑主配置文件 `/etc/snort/snort.conf` ,确保其正确引用刚刚添加进来的所有规则并且设置正确的 HOME_NET 和 EXTERNAL_NET 参数值以适应自身环境状况。 重启服务使其生效即可开始监控网络流量啦~
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值