Snort安裝使用規則

2021-05-23 19:16:20 字數 2712 閱讀 3098

1、

安裝libpcap

解壓:tar zxvf libpcap-1.0.0.tar.gz

cd libpcap-1.0.0

配置:./configure

編譯:make

cd ..

安裝:

make install

2、

安裝pcre

tar zxvf pcre-8.00.tar.gz

cd pcre-8.00

./configure

make

make install

3、

安裝

snort

tar zxvf snort-2.8.5.1.tar.gz

cd snort-2.8.0

./configure—enable-dynamicplugin

為了產生/usr/local/lib/snort_dynamicpreprocessor這個目錄,否則出錯

make

make install

cd ..

4、

安裝snort規則

更新規則:

mkdir /etc/snort

cd /etc/snort

tar zxvf snortrules-snapshot-current.tar.gz

配置

snort

snort

的安裝目錄下:

root@mail snort-2.8.0

cp./etc/snort.conf/etc/snort/

編輯

snort.conf:

vi /etc/snort/snort.conf

設定如下:

var home_netyournetwork(

例如:實驗

測試:

/usr/local/bin/snort –a fast –b –d –d –l/var/log/snort –c /etc/snort/snort.conf

注意:

要提前建立

/var/log/snort

目錄

檢視檔案

/var/log/message ,

若沒有錯誤資訊,則表示安裝成功

cat /var/log/message

注意:如果出錯。可以根據出錯資訊,缺少什麼檔案,可以到

/etc/

下找到相應的檔案,考到出錯資訊指定的位置。

5、

網路入侵檢測測試

icmp.rules

中新增如下資訊;

alert icmp $home_net any -> $home_net any (msg:」icmp ping」; sid:469;rev:4;)

執行:

snort –dev –a fast –l /var/log –h 192.168.2.0/24 –c /etc/snort/snort.conf

找另乙個人

pingyourhost(

你的主機位址

)

檢視是否有報警資訊

:

cat /var/log/alert

snort 規則編寫

snort規則分為兩個部分 規則的頭部和規則選項。首先,規則頭部包含著規則 動作 協議 源位址和目標位址 源埠 目標埠。第二部分是規則選項,它包含著乙個警告訊息和某資料報有關部分的資訊 如果要採取某個動作的話,就應當看一些這種資訊 例如 alert tcp any any 192.168.1.0 2...

Snort 規則基本語法

一條snort規則分為規則頭和規則體 規則體內有規則選項,規則選項在圓括號內 規則頭 規則選項 alert icmp any any any any msg ping with tll 100 ttl 100 直接上例項,首先只需要知道一點,這條規則代表探測到ttl位100的icmp ping包的時...

snort規則byte test詳細解釋

自我的部落格 網上關於snort規則的解讀不夠詳細,有些規則甚至沒有具體的解釋。根據個人經驗,介紹幾個如下 byte test 測試乙個位元組的域為特定的值。能夠測試二進位制值或者把位元組字串轉換成二進位制後再測試。格式 byte test relative big little string he...