开源入侵防御/检测系统snort部署（centos7）

迷南。 2023-10-06 19:26 10阅读 0赞

#### 目录 ####

*   *  1、概述
     *  2、安装
     *   *  2.1、安装daq
         *  2.2、安装snort
     *  3、规则配置
     *  4、使用
     *   *  4.1、嗅探器
         *  4.2、数据包记录器
         *  4.3、网络入侵检测系统

### 1、概述 ###

Snort 是世界上最重要的开源入侵防御系统 (IPS)。Snort IPS 使用一系列规则来帮助定义恶意网络活动，并使用这些规则查找与其匹配的数据包并为用户生成警报。

也可以内联部署 Snort 来阻止这些数据包。Snort 有三个主要用途：作为 tcpdump 之类的数据包嗅探器，作为数据包记录器——这对网络流量调试很有用，或者它可以用作成熟的网络入侵防御系统。

![在这里插入图片描述][watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAQmlnJkJpcmQ_size_20_color_FFFFFF_t_70_g_se_x_16]

### 2、安装 ###

#### 2.1、安装daq ####

访问官网`https://www.snort.org/downloads`下载`daq-2.0.7.tar.gz`  
![在这里插入图片描述][watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAQmlnJkJpcmQ_size_20_color_FFFFFF_t_70_g_se_x_16 1]

tar -zxvf daq-2.0.6.tar.gz
    cd daq-2.0.6
    ./configure
    make
    make install

**报错处理：**  
configure报错：configure: error: Your operating system’s lex is insufficient to compile libsfbpf. You should install both bison and flex.

处理：yum install flex bison -y

configure报错： ERROR! Libpcap library version >= 1.0.0 not found.

处理： yum install libpcap libpcap-devel -y

#### 2.2、安装snort ####

官网下载版本`snort-2.9.9.0.tar.gz`

tar -zxvf snort-2.9.9.0.tar.gz
    cd snort-2.9.9.0
    ./configure --enable-sourcefire
    make 
    make install

**报错处理：**  
onfigure报错：ERROR! dnet header not found, go get it from

处理： wget https://nchc.dl.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz

tar -zxf libdnet-1.11.tar.gz
    
            cd libdnet-1.11
    
           ./configure && make && make install

### 3、规则配置 ###

# 首先创建snort配置（及规则）目录
    mkdir -p /etc/snort/rules
    # 创建运行需要目录
    mkdir /usr/local/lib/snort_dynamicrules
    
    # 首先将2.2解压出来的etc下的默认配置文件复制到snort配置目录下
    cp etc/*.conf* /etc/snort
    cp etc/*.map /etc/snort
    
    # 下载社区规则并解压到规则目录
    wget https://www.snort.org/downloads/community/community-rules.tar.gz
    tar -zxf community-rules.tar.gz -C /etc/snort/rules
    
    # 注释掉所有默认要加载的规则文件
    sudo sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf
    
    # 启用社区规则文件
    echo '' >> /etc/snort/snort.conf
    echo '# enable community rule' >> /etc/snort/snort.conf
    echo 'include $RULE_PATH/community-rules/community.rules' >> /etc/snort/snort.conf
    
    # 重新设置snort.conf中的变量值
    sed -i 's/var RULE_PATH ..\/rules/var RULE_PATH .\/rules/' /etc/snort/snort.conf
    sed -i 's/var WHITE_LIST_PATH ..\/rules/var WHITE_LIST_PATH .\/rules/' /etc/snort/snort.conf
    sed -i 's/var BLACK_LIST_PATH ..\/rules/var BLACK_LIST_PATH .\/rules/' /etc/snort/snort.conf
    
    # 创建默认使用的白名单文件
    touch /etc/snort/rules/white_list.rules
    # 创建默认的黑名单文件
    touch /etc/snort/rules/black_list.rules
    # 创建默认自己设置的规则文件，其实我们注意了其他include只include了社区规则，所以这条根本没用这里只是意思一下
    touch /etc/snort/rules/local.rules
    
    # 测试配置文件是否有误
    snort -T -c /etc/snort/snort.conf

![在这里插入图片描述][watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAQmlnJkJpcmQ_size_20_color_FFFFFF_t_70_g_se_x_16 2]

### 4、使用 ###

#### 4.1、嗅探器 ####

所谓的嗅探器模式就是snort从网络上读出数据包然后显示在你的控制台上。首先，我们从最基本的用法入手。如果你只要把TCP/IP包头信息打印在屏幕上，只需要输入下面的命令：  
　　`./snort -v`  
使用这个命令将使snort只输出IP和TCP/UDP/ICMP的包头信息。如果你要看到应用层的数据，可以使用：  
　　`./snort -vd`

这条命令使snort在输出包头信息的同时显示包的数据信息。如果你还要显示数据链路层的信息，就使用下面的命令：

`./snort -vde`

注意这些选项开关还可以分开写或者任意结合在一块。例如：下面的命令就和上面最后的一条命令等价：

`./snort -d -v –e`

#### 4.2、数据包记录器 ####

如果要把所有的包记录到硬盘上，你需要指定一个日志目录，snort就会自动记录数据包：  
　`./snort -dev -l ./log`  
当然，./log目录必须存在，否则snort就会报告错误信息并退出。当snort在这种模式下运行，它会记录所有看到的包将其放到一个目录中，这个目录以数据包目的主机的IP地址命名，例如：192.168.10.1

如果你只指定了-l命令开关，而没有设置目录名，snort有时会使用远程主机的IP地址作为目录，有时会使用本地主机IP地址作为目录名。为了只对本地网络进行日志，你需要给出本地网络：

`./snort -dev -l ./log -h 192.168.1.0/24`

这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。

如果你的网络速度很快，或者你想使日志更加紧凑以便以后的分析，那么应该使用二进制的日志文件格式。所谓的二进制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包记录到一个单一的二进制文件中：

`./snort -l ./log -b`

注意此处的命令行和上面的有很大的不同。我们勿需指定本地网络，因为所有的东西都被记录到一个单一的文件。你也不必冗余模式或者使用-d、-e功能选项，因为数据包中的所有内容都会被记录到日志文件中。

你可以使用任何支持tcpdump二进制格式的嗅探器程序从这个文件中读出数据包，例如： tcpdump或者Ethereal。使用-r功能开关，也能使snort读出包的数据。snort在所有运行模式下都能够处理tcpdump格式的文件。例如：如果你想在嗅探器模式下把一个tcpdump格式的二进制文件中的包打印到屏幕上，可以输入下面的命令：  
　　`./snort -dv -r packet.log`

在日志包和入侵检测模式下，通过BPF(BSD Packet Filter)接口，你可以使用许多方式维护日志文件中的数据。例如，你只想从日志文件中提取ICMP包，只需要输入下面的命令行：  
　　`./snort -dvr packet.log icmp`

#### 4.3、网络入侵检测系统 ####

snort最重要的用途还是作为网络入侵检测系统(NIDS)，使用下面命令行可以启动这种模式：  
`./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf`

snort.conf是规则集文件。snort会对每个包和规则集进行匹配，发现这样的包就采取相应的行动。如果你不指定输出目录，snort就输出到/var/log/snort目录。

注意：如果你想长期使用snort作为自己的入侵检测系统，最好不要使用-v选项。因为使用这个选项，使snort向屏幕上输出一些信息，会大大降低snort的处理速度，从而在向显示器输出的过程中丢弃一些包。

此外，在绝大多数情况下，也没有必要记录数据链路层的包头，所以-e选项也可以不用：  
　`./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf`

这是使用snort作为网络入侵检测系统最基本的形式，日志符合规则的包，以ASCII形式保存在有层次的目录结构中。

[watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAQmlnJkJpcmQ_size_20_color_FFFFFF_t_70_g_se_x_16]: https://img-blog.csdnimg.cn/18f685e24a394810ae0cf4384f70d150.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAQmlnJkJpcmQ=,size_20,color_FFFFFF,t_70,g_se,x_16
[watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAQmlnJkJpcmQ_size_20_color_FFFFFF_t_70_g_se_x_16 1]: https://img-blog.csdnimg.cn/3e1ed366dbd14aceaf52733438fb4266.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAQmlnJkJpcmQ=,size_20,color_FFFFFF,t_70,g_se,x_16
[watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAQmlnJkJpcmQ_size_20_color_FFFFFF_t_70_g_se_x_16 2]: https://img-blog.csdnimg.cn/c73d8867984f4f30a11095000fa1ec78.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAQmlnJkJpcmQ=,size_20,color_FFFFFF,t_70,g_se,x_16