认识 Snort3 (1):编译、安装与简单使用

认识 Snort3 (1):编译、安装与简单使用

图源:SAyuki - 《Gray》,Pid:79912976

Snort 简介

Snort,是一款开源的 IDS/IPS 软件,由思科公司(Cisco)主导开发,使用广泛。Snort 有三种模式——包嗅探模式(Packet Sniffer)、包记录模式(Packet Logging)、IPS 模式(Intrusion Prevention System)。搭配自定义的规则、不同的插件与其他软件,Snort 能在不同的系统中发挥不同的作用。

本篇文章简单记录 Snort3 的编译、安装和简单使用流程。

编译安装 Snort3

例子中使用的操作系统是 Ubuntu Server 20.04.1 LTS。当然你也可以使用 Ubuntu 18.04.5 LTS,或者其他 Linux 发行版。某些发行版由于内核配置原因无法编译 libdaq 的部分插件(例如 NFQ),这时 Snort 虽然无法提供防护功能,但仍然可以作为入侵检测系统(IDS)来使用。

快速设置 Ubuntu Server 虚拟机

Ubuntu Server 虚拟机其实不必下载 ISO 镜像后再利用 VMWare 等虚拟化软件从头进行安装。Ubuntu 官方已经提供了预安装的虚拟磁盘的下载(如 Kali Linux 官方 所做的那样),即 Ubuntu Cloud Images

image-20210411151459857

以 20.04 LTS daily build 为例,找到对应的 OVA 文件:

image-20210411151519613

安装新版 libpcap

1
2
3
4
5
6
7
# 可能已有更新版本,可以去官网查看最新版本下载地址
# https://www.tcpdump.org/
wget https://www.tcpdump.org/release/libpcap-1.9.1.tar.gz
tar -xzf libpcap-1.9.1.tar.gz
cd libpcap-1.9.1/
# 有的时候 /usr/local/lib 不在 PATH 内,其实不妨直接安装到 /usr/lib
./configure --prefix=/usr
Your browser is out-of-date!

Update your browser to view this website correctly.&npsb;Update my browser now

×