先安裝依賴文件
yum -y install epel-release //需要epel源 yum -y install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump yum -y install nghttp2 yum -y install glibc-headers g++ //后面安裝ilbdnet-1.11.tar.gz需要 yum -y install openssl openssl-devel //后面安裝snort 2.9時需要
下載單獨文件
wget http://www.tcpdump.org/release/libpcap-1.9.0.tar.gz wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz
daq和snort版本存在更新,下載地址:https://www.snort.org/downloads/ wegt https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz wegt https://www.snort.org/downloads/snort/snort-2.9.17.1.tar.gz
daq 依賴文件,下載地址:http://luajit.org/download/
wegt http://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz
解壓五個壓縮包
tar -zxvf libdnet-1.11.tar.gz tar -zxvf libpcap-1.9.0.tar.gz tar -zxvf daq-2.0.7.tar.gz tar -zxvf snort-2.9.17.1.tar.gz
tar -zxvg LuaJIT-2.1.0-beta3.tar.gz
編譯安裝順序
先進入 libpcap-1.9.0 目錄 ./configure make && make install 然后進入 libdnet-1.11目錄 ./configure make && make install 接着進入 daq-2.0.7目錄 ./configure make && make install 再然后進入 LuaJIT-2.1.0-beta3目錄 cd src make cd .. //返回上一層 make install 最后進入snort-2.9.17.1目錄 ./configure --enable-sourcefire make && make install
最后直接snort 執行,不報錯並持續輸出即為成功
還有建立snort用戶分配權限,已經修改配置文件,指定所在目錄的(麻煩就不去搞了)
snort用戶創建參考:
Snort有 三種工作模式:嗅探器、數據包記錄器、網絡入侵檢測系統模式。
嗅探器模式僅僅是從網絡上讀取數據包並作為連續不斷的流顯示在終端上。
數據包記錄器模式把數 據包記錄到硬盤上。網路入侵檢測模式分析網絡數據流以匹配用戶定義的一些規則,並根據檢測結果采取一定的動作。
網絡入侵檢測系統模式是最復雜的,而且是可 配置的。
嗅探器模式下-- snort報警測試
snort -i ens33 -A fast // -i 設置網絡接口 -A 設置報警模式,full/fast/none/unsock
ping服務器
成功監控並發出warning
參考:
centos7安裝snort:https://blog.csdn.net/xiaopan233/article/details/83478356