kali安装配置snort实现简单的入侵检测
kali安装配置snort实现简单的入侵检测参考kali上安装配置snort以及简单实验(这篇是我安装过程中最为简洁的,也是错误较少的);Ubuntu 16.04安装snort含问题解决(示例代码)(这篇里面包含常见错误,虽然我出现的错误并没有解决);前言snort这个东西真的是魔鬼,前前后后在四个系统上安装了不知道多少次,最后终于在搭载了Ubuntu18的云服务器勉强安装完成。安装失败的主要原因
·
kali安装配置snort实现简单的入侵检测
参考
- kali上安装配置snort以及简单实验(这篇是我安装过程中最为简洁的,也是错误较少的);
- Ubuntu 16.04安装snort含问题解决(示例代码)(这篇里面包含常见错误,虽然我出现的错误并没有解决);
前言
snort这个东西真的是魔鬼,前前后后在四个系统上安装了不知道多少次,最后终于在搭载了Ubuntu18的云服务器勉强安装完成。
安装失败的主要原因
- 网络不顺畅(这个也是以下很多原因出现的主要原因);
- 依赖环境安装不全;
配置失败的主要原因
- snort版本和snort规则库版本不一致;
- 配置文件修改不当导致文件找不到;
snort安装配置
一定要要先执行软件库的更新,这个也是很多新手不注意的地方,然后就知道问为啥我的软件安装不上,网络这么差。
sudo apt-get install update
安装daq之前需先安装
sudo apt-get install flex -y
sudo apt-get install bison -y
sudo apt-get install aptitude -y
sudo aptitude install libpcap-dev -y
安装daq
这一步可以在官网首页找到对应内容。一定要按照官网当前给出的版本包为准。
目前是2021.11.28,daq版本包为 daq-2.0.7.tar.gz。
# 1. 下载daq安装包
sudo wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
# 2. 解压
sudo tar xvfz daq-2.0.7.tar.gz
# 3. 切换路径
cd daq-2.0.7
# 4. 配置 编译 安装
./configure && sudo make && sudo make install
# 5. 回到上级菜单(很多新手,看别人的教程都是稀里糊涂,都不知道该在哪个路径下执行什么代码)
cd ..
安装snort前所需依赖
sudo aptitude install libpcre3-dev -y
sudo aptitude install libdumbnet-dev -y
sudo aptitude install zlib1g-dev -y
sudo apt-get install openssl -y
sudo apt-get install libssl-dev -y
# luaJIT库(我也不太懂这个是干嘛用的,但是不装会报错)
sudo wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz
sudo tar -zxvf LuaJIT-2.0.5.tar.gz
cd LuaJIT-2.0.5/
sudo make && sudo make install && cd ..
安装snort
重点
这里和前面的daq一样要选择当前官方首页的版本包。
目前是2021.11.28,snort版本包为 snort-2.9.18.1.tar.gz。
否则,很有可能没办法在官网下载。
sudo wget https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz
sudo tar xvfz snort-2.9.18.1.tar.gz
cd snort-2.9.18.1
./configure --enable-sourcefire && make && sudo make install
出现一点小错误
显示没有找到<rpc/rpc.h>的头文件。
解决
首先,输入:
sudo apt install libntirpc-dev
可以看看问题是否解决,然而我的问题并没有解决,继续。
apt-file search rpc/rpc.h
发现在ntirpc等文件夹下都有这个头文件,我的做法是,将ntripc下的所有文件都拷贝一份到/usr/include/下,问题得以解决:
sudo cp /usr/include/ntirpc/* /usr/include/ -r
配置
创建文件夹
#Snort的安装目录
sudo mkdir -p /etc/snort/rules/iplists
sudo mkdir -p /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir /etc/snort/so_rules
#存储过滤规则和服务器黑白名单
sudo touch /etc/snort/rules/iplists/default.blacklist
sudo touch /etc/snort/rules/iplists/default.whitelist
sudo touch /etc/snort/rules/so_rules
#创建日志目录
sudo mkdir /var/log/snort
sudo mkdir /var/log/snort/archived_logs
#调整权限
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort/rules/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
复制文件
sudo cp /home/kali/snort-2.9.18.1/etc/*.conf* /etc/snort
sudo cp /home/kali/snort-2.9.18.1/etc/*.map /etc/snort
sudo cp /home/kali/snort-2.9.18.1/etc/*.dtd /etc/snort
sudo cp /home/kali/snort-2.9.18.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/* /usr/local/lib/snort_dynamicpreprocessor/
修改配置文件
# 打开配置文件
sudo vim /etc/snort/snort.conf
# 修改路径 找到对应复制即可
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists/
var BLACK_LIST_PATH /etc/snort/rules/iplists/
whitelist $WHITE_LIST_PATH/default.whitelist, \
blacklist $BLACK_LIST_PATH/default.blacklist
下载与snort相匹配的规则包
# 1. 下载
wget https://www.snort.org/downloads/registered/snortrules-snapshot-29181.tar.gz
# 2. 解压
sudo tar zxvf snortrules-snapshot-29181.tar.gz -C /etc/snort
# 3. 复制 (要根据系统(RHEL应该是对应kali)和安装的包(2.9.18.1,通常只有一个文件夹)来选择)
sudo cp /etc/snort/so_rules/precompiled/RHEL-8/x86-64/2.9.18.1/* /usr/local/lib/snort_dynamicrules/
启动测试
显然结果正常
sudo snort -T -c /etc/snort/snort.conf
实验部分还没写完,停更一下
更多推荐
已为社区贡献1条内容
所有评论(0)