在ubuntu17.04下使用源安装snort非常简单,使用官方源就可以安装snort了。
1,确保/etc/apt/source.list文件内有可用的源列表
2,更新软件包列表
[email protected]:~#apt update
3,安装snort服务
[email protected]:~#apt install snort
4,安装过程中会弹出窗口让你设置监听网段,根据自己的需要设置即可。
5,启动snort服务
[email protected]:~#service snort restart
6,检查配置文件是否正确
[email protected]:~#snort -T -c /etc/snort/snort.conf
配置文件正确时应显示
7,打印snort监听数据
[email protected]:~#snort
这时所有被监测到的数据包都会被打印出来
8,设置一个简单的icmp检测规则
注:通过源安装的snort服务默认配置文
件路径在/etc/snort/下的snort.conf,/etc/snort/rules目录存放snort检测规则模版
[email protected]:~#vim /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
[email protected]:~#vim /etc/snort/snort.conf
include $RULE_PATH/local.rules
9,启动监听模式
[email protected]:~#snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i </interface>
注:</interface>为要监听的网卡
回车后snort就处于监听状态了,当前没有监听到被标记的数据包是是不会有回显的
像这样
我们刚刚定义的是icmp包监测,那么当我们ping snort的主机的时候
监听窗口就会实时打印出icmp数据了
snort还自带很多检测模版,像常见的http协议,ftp协议,smb协议,ppptp协议等数据包的监测,模版文件放在/etc/snort/rules目录下,大家可以摸索摸索。