centos7 下配置snort2.9 以及使用

先安装依赖文件

yum -y install epel-release        //需要epel源

yum -y install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump

yum -y install nghttp2

yum -y install glibc-headers g++     //后面安装ilbdnet-1.11.tar.gz需要

yum -y install openssl openssl-devel     //后面安装snort 2.9时需要

下载单独文件

wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz
wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz

daq和snort版本存在更新，下载地址：https://www.snort.org/downloads/
wegt https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wegt https://www.snort.org/downloads/snort/snort-2.9.17.1.tar.gz

daq 依赖文件，下载地址：http://luajit.org/download/
wegt http://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz

解压五个压缩包

tar -zxvf libdnet-1.11.tar.gz
tar -zxvf libpcap-1.9.0.tar.gz
tar -zxvf daq-2.0.7.tar.gz
tar -zxvf snort-2.9.17.1.tar.gz
tar -zxvg LuaJIT-2.1.0-beta3.tar.gz

编译安装顺序

先进入 libpcap-1.9.0 目录
./configure
make && make install

然后进入 libdnet-1.11目录
./configure
make && make install

接着进入 daq-2.0.7目录
./configure
make && make install

再然后进入 LuaJIT-2.1.0-beta3目录
cd src
make
cd ..　　　　//返回上一层
make install

最后进入snort-2.9.17.1目录
./configure --enable-sourcefire
make && make install

最后直接snort 执行，不报错并持续输出即为成功

 

还有建立snort用户分配权限，已经修改配置文件，指定所在目录的（麻烦就不去搞了）

snort用户创建参考：

 

 

Snort有 三种工作模式：嗅探器、数据包记录器、网络入侵检测系统模式。

嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。

数据包记录器模式把数 据包记录到硬盘上。网路入侵检测模式分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

网络入侵检测系统模式是最复杂的，而且是可 配置的。

嗅探器模式下-- snort报警测试

snort -i ens33 -A fast　　　　// -i 设置网络接口  -A 设置报警模式，full/fast/none/unsock

ping服务器

成功监控并发出warning

 

 

 

 

 

 

 

 

 

 参考：

centos7安装snort：https://blog.csdn.net/xiaopan233/article/details/83478356