snort是一款强大的开源跨平台入侵检测工具,支持linux,aix,windows等多平台使用。Snort能够对网络上的数据包进行抓包分析,然后根据所定义的规则进行响应及处理。支持邮件,自定义脚本等告警响应方式。snort一般DMZ区域边界,探测器分布在各个区域,使用时可以和防火墙联动。
在ubuntu17.04下使用源安装snort非常简单,使用官方源就可以安装snort了。
1,确保/etc/apt/source.list文件内有可用的源列表
2,更新软件包列表
root@compute-node:~#apt update
3,安装snort服务
root@compute-node:~#apt install snort
4,安装过程中会弹出窗口让你设置监听网段,根据自己的需要设置即可。
5,启动snort服务
root@compute-node:~#service snort restart
6,检查配置文件是否正确
root@compute-node:~#snort -T -c /etc/snort/snort.conf
配置文件正确时应显示
7,打印snort监听数据
root@compute-node:~#snort
这时所有被监测到的数据包都会被打印出来
8,设置一个简单的icmp检测规则
注:通过源安装的snort服务默认配置文
件路径在/etc/snort/下的snort.conf,/etc/snort/rules目录存放snort检测规则模版
root@compute-node:~#vim /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
root@compute-node:~#vim /etc/snort/snort.conf
include $RULE_PATH/local.rules
9,启动监听模式
root@compute-node:~#snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i </interface>
注:</interface>为要监听的网卡
回车后snort就处于监听状态了,当前没有监听到被标记的数据包是是不会有回显的
像这样
我们刚刚定义的是icmp包监测,那么当我们ping snort的主机的时候
监听窗口就会实时打印出icmp数据了
snort还自带很多检测模版,像常见的http协议,ftp协议,smb协议,ppptp协议等数据包的监测,模版文件放在/etc/snort/rules目录下,大家可以摸索摸索。