Ubuntu下Snort安装配置

Snort作为一个IDS（入侵检测系统），是网络安全防御系统的一个重要组件，这里，记录下在Ubuntu18.04下的安装配置过程。
话不多说，直接开始吧！

环境

环境如下：

• Ubuntu18.04
• Snort 2.9.17
• daq2.0.7
• libpcap1.10.0
• LuaJIT

软件下载

下载daq和snort

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
                      
https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz

libpcap下载

进入官网下载libpcap：

libpcap下载

LuaJIT下载

到官网下载：

LuaJIT下载

软件安装

依赖安装

安装bison 、flex，命令行输入：

sudo apt-get install bison flex 

libpcap安装

在下载目录，解压：

tar -zxvf libpcap-1.10.0.tar.gz

进入到目录：

cd libpcap-1.10.0

然后三连：

./configure
sudo make
sudo make install

复制粘贴：

sudo cp /usr/local/lib/libpcap.* /usr/lib/

daq安装

在下载目录，解压后进入目录：

tar -zxvf daq-2.0.7.tar.gz
cd daq-2.0.7

然后三连：

./configure
sudo make
sudo make install

snort安装

首先安装依赖：

sudo apt-get install libpcre3-dev libdumbnet-dev zlib1g-dev

然后解压下载好的LuaJIT，进入目录，安装LuaJIT：

sudo make && make install

然后三连安装snort：

./configure --enable-sourcefire

如果报错的话执行：

./configure --enable-sourcefire --disable-open-appid

sudo make
 
sudo make install

Snort配置

新建文件夹：

sudo mkdir /etc/snort/rules

将snort-2.9.17/etc/snort.conf拷贝到 /etc/snort目录下：

sudo  cp  ./etc/snort.conf  /etc/snort

去官网下载对应版本（我这里snort为2.9.17，则规则也下载2.9.17的版本）的规则文件（推荐注册一个账号下载完整版本）：

下载snort规则

将规则解压拷贝进去：

sudo tar -xvzf community-rules.tar.gz -C /etc/snort/rules

测试运行

使用命令启动snort：

sudo snort

如果启动报错snort: error while loading shared libraries: libsfbpf.so.0: cannot open shared object file: No such file or directory，则运行命令：

sudo ldconfig
sudo snort

使用局域网内另一台主机ping该主机：

ping 192.168.25.138

可以看到监测到了该流量包：

snort运行