一、編譯
編譯是在Ubuntu 11.04 (32bit)下完成的,Ubuntu采用默認安裝方式。
Snort本身用到了一些第三方的庫,這些庫默認在Ubuntu下並沒有安裝,因此需要我們自己手動安裝。具體包括:libdnet-1.12、libpcap-1.0.0、pcre-8.12、zlib-1.2.5等,除此之外,還需要安裝build-essential、flex和bison包。
這些第三方庫的編譯安裝比較簡單,一般只需要執行以下三個命令即可:
./configure
make
sudo make install
當所依賴的包和庫均已安裝完畢後,就可以編譯安裝snort了。
Snort的源碼可以從www.snort.org獲得,本文使用的snort源碼版本為2.9.0.5,下載後的壓縮包名為snort-2.9.0.5.tar.gz。另外,還應下載daq源碼,因為snort在編譯時需要用到該庫。daq在snort的官方站點也直接提供了源碼下載。本文使用的daq版本為0.5,下載後的壓縮包名為daq-0.5.tar.gz。最後,需要下載snort的規則庫,因為我們需要snort工作在IDS模式下,這需要提供相應的入侵檢測規則庫。幸運的是,snort官方同樣提供了規則庫下載,不過分為收費版本和免費版本。只需要注冊一個免費的賬戶就可以下載免費版本的規則庫了。本文使用的版本庫下載後的壓縮包名為snortrules-snapshot-2905.tar.gz。編譯時並不需要用到規則庫,運行時才會用到。
接下來是snort的編譯過程,直接./configure是可以的,但是這樣編譯出來的snort一些功能沒有啟用,不能滿足我們的需要,所以必須使用一些配置選項,具體如下:
./configure –enable-ipv6 –enable-gre –enable-mpls –enable-targetbased –enable-decoder-preprocessor-rules –enable-ppm –enable-perfprofiling –enable-zlib –enable-active-response –enable-normalizer –enable-reload –enable-react –enable-flexresp3
完畢後,使用 make 命令進行編譯,編輯完畢後使用 sudo make install 完成安裝。
下面是編譯過程中的截圖:
【圖1】snort編譯中
【圖2】snort編譯完畢
