Snort是一個免費的IDS(入侵監測系統)軟件。它的一些源代碼是從著名的tcpdump軟件發展而來的。它是一個基於libpcap包的網絡監控軟件,可以作為一個十分有效的網絡入侵監測系統。它能夠監測多種網絡攻擊和探測,例如:緩沖器溢出攻擊,端口掃描,CGI攻擊,SMB探測等等。Snort具有實時的告警能力,將告警記入一個特別的告警文件--系統日志,或者將告警信息通過samba轉發給另一台Windows PC機。
Snort首先根據遠端的ip地址建立目錄,然後將檢測到的包以tcpdump的二進制格式記錄或者以自身的解碼形式存儲到這些目錄中。這樣一來,你就可以使用Snort來監測或過濾你所需要的包。
前一陣子參考了網上在Ubuntu 12.04下安snort+mysql的文章,不過安裝大都是用apt-get執行的,定制性太差,攻擊檢測不出來不說(與RP有關),還把系統弄得很亂。樓主深受其害,一怒之下卸掉所有,自己一點點配置和排錯,最後總算成功。
整個過程是暫時在root權限下弄的,省去一些麻煩。
閒話少說,先上必裝軟件。
pcre-8.20.tar.gz
zlib-1.2.3.tar.gz
libpcap-1.3.0.tar.gz
daq-1.1.1.tar.gz
libxml2-2.6.19.tar.gz
libpng-1.2.40.tar.gz
gd-2.0.33.tar.gz
jpegsrc.v7.tar.gz
DBD-mysql-3.0008.tar.gz
httpd-2.2.14.tar.gz
php-5.2.9.tar[1].bz2
這些東西當然你願意在哪configure都行,不過為了方便說明,我把他們的*.tar.gz都放到我自己建的一個目錄中/usr/local/installsnort中
make&&make install
該裝的都裝好了,終於輪到我們的大BOSS了,
snort-2.9.0.2.tar.gz
snortrules-snapshot-2920.tar.gz
當然是先cd進去:
cd /usr/local/installsnort/snort-2.9.0.2
然後configure,假設你的這裡一定要這樣,否則遺禍無窮。
./configure --with-mysql=/usr/lib/i386-linux-gnu/ --with-libpcre-includes=/usr/local/installsnort/pcre-8.20/ --with-libpcre-libraries=//usr/local/installsnort/pcre-8.20/.libs/ --enable-zlib
mysql是用新立得以前就裝好的,所以它的庫文件什麼的都在linux的GNU工具集內,只有libpcre要指定一下,否則找不到,zlib會影響到snort以後的執行。
接著:
make
(經常會有各種問題,如果想重新configure 請用make clean)
然後是make的好基友:
make install
到這裡,snort最基本的功能安裝完畢。測試一下,snort -V(用於查版本號)
如果出現這個,請繼續,否則請檢查上述安裝過程。
,,_ -*> Snort! <*-
o" )~ Version 2.9.0.2 (Build 92)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using libpcap version 1.3.0
Using PCRE version: 8.20 2011-10-21
Using ZLIB version: 1.2.3.4
如果/etc路徑下沒有snort目錄,建立一個,先將/usr/local/installsnort/snort-2.9.0.2/etc所有文件拷貝進去,再將/usr/local/installsnort/snortrules-snapshot-2902.tar.gz解壓縮生成的preproc_rules、rules、so_rules的文件拷貝進去。
