参考内容:【入侵检测】window下安装snort_windows安装snort-CSDN博客
一、实验目的
- 深入理解入侵检测系统的原理和工作方式,熟悉入侵检测工具Snort在Windows操作系统中的安装、配置及使用方法。
二、实验内容
- 安装WinPcap及Snort;
- 启动Snort;
- 自编写简单的报警规则并进行测试;
- 将相关配置及验证结果界面截图,并整理到实验报告中。
三、实验步骤
- Ubuntu16.04下载daq和snort:参考Ubuntu下Snort安装配置 - 简书 (jianshu.com)
- wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
- wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
-
- Libpcap1.10.5.tar.gz
- 下载,官网:Home | TCPDUMP & LIBPCAP
- 解压:tar -zxvf libpcap-1.10.5.tar.gz
- 进入目录:cd libpcap-1.10.5
- 编译安装:
- ./configure
- sudo make
- sudo make install
- Libpcap1.10.5.tar.gz
-
-
- 复制粘贴到/usr/lib目录下:sudo cp /usr/local/lib/libpcap.* /usr/lib/
-
-
- LuaJIT下载,命令:
- git clone https://github.com/LuaJIT/LuaJIT.git
- cd luajit
- make
- Make install
- LuaJIT下载,命令:
-
- daq安装
- 解压:tar -zxvf daq-2.0.7.tar.gz
- 进入目录:cd daq-2.0.7
- 编译安装:
- ./configure
- sudo make
- sudo make install
- daq安装
-
- snort安装和配置
- 首先安装依赖:sudo apt-get install libpcre3-dev libdumbnet-dev zlib1g-dev libpcap-dev libcap2-bin libnetfilter-queue-dev liblua5.1-0 liblua5.1-dev
- 解压下载好的LuaJIT,进入目录,安装LuaJIT:sudo make && make install
- 安装snort:
- ./configure --enable-sourcefire(如果报错的话执行:./configure --enable-sourcefire --disable-open-appid)
- sudo make
- sudo make install
- snort安装和配置
-
-
- Snort配置
- snort.conf文件:
- cd到snort解压的目录,到etc目录下找到snort.conf文件
- 修改内容:只是进行简单的规则测试,并不涉及使用任何预处理器或动态模块,那么可以禁用动态模块加载。这可以通过注释掉或删除snort.conf中与动态模块相关的行来实现。(可以删除文件中的Step4、5,并注释Step8、9)保留的部分如下图所示:
- snort.conf文件:
- Snort配置
-
-
-
-
- 确定分享库/usr/lib/libpcap.so.1 存在:
- 确认libpcap.so.1的路径:ls /usr/lib/x86_64-linux-gnu/libpcap.so.*
- 根据实际路径创建符号链接到 /usr/lib 目录(这里的 1.7.4 是 libpcap.so.1 的具体版本号,你需要根据实际情况进行调整):sudo ln -s /usr/lib/x86_64-linux-gnu/libpcap.so.1.7.4 /usr/lib/libpcap.so.1
- 更新动态链接器缓存以确保所有库文件都能被正确找到:sudo ldconfig
- 确定分享库/usr/lib/libpcap.so.1 存在:
-
-