debian8.4下安装Snort处理tcpdump文件技术细节

最新推荐文章于 2025-04-15 10:48:26 发布
最新推荐文章于 2025-04-15 10:48:26 发布
阅读量3.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: debian 安全 文章标签: debian snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/isinstance/article/details/51407652
本文详细介绍如何在Debian系统上部署Snort入侵检测系统,包括安装必要的软件包、配置Snort环境、下载及安装Snort软件等步骤,并提供了一些实用的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先你得有个debian系统

转载记得注明出处
http://blog.youkuaiyun.com/isinstance/article/details/51407652

然后才能进行下一步
然后呢就是编辑源

vi /etc/apt/sources.list

然后注释掉原有的deb和cdrom开头的选项
大概就是下图这样子
这里写图片描述
然后添加一个deb源和deb-src源

deb http://mirrors.163.com/debian/ jessie main
deb-src http://mirrors.163.com/debian/ jessie main

我这里写的是163的源,你也可以换成搜狐的源或者其他的什么
然后就是保存退出

下一步老规矩

apt-get update

因为我这里配置的是本地版的,如果你想搞一个服务器版的话
还得这一步

apt-get install ssh

然后开始配置debian的环境

开始安装一大堆库

apt-get install libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf automake1.9 libpcap0.8 libpcap0.8-dev vim gcc make tool libtool

这是目前要安装的,后面报错的话还得继续安装其他的东西
比如说后面会发现报错一个地方,后来google了一下是要安装一个

apt-get install python-dev

的东西,因为系统不同,也不知道各位的会不会报错
然后就是下载安装snort了
我的版本是snort-2.9.8.2
然后解压

tar zxvf snort-2.9.8.2
cd snort-2.9.8.2
./configure --enable-dynamicplugin
make
make install

也许下一步你还得装一个zlib,去官网下一个也是一样的./configure && make && make install

然后下一步有个daq文件在snort官网

下了也同样的方法安装一下

最后注册一个snort官网,下一个对应你snort版本的rules

注意一定要对应你的版本

下一步

进入root模式

su

输入密码

mkdir /etc/snort
mkdir /var/log/snort
groupadd snort
useradd -g snort snort
chown snort:snort /var/log/snort

/etc/snort目录呢是用于存snort的配置文件的地方

/var/log/snort呢是用于存snort的日志的地方

这里不要弄混了
然后进如snort目录下的etc目录

cd etc
cp *.conf /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort

前面不是下了一个rules嘛

我的版本是snortrules-snapshot-2982

一样的解压,然后进入解压完毕的目录

cp * /etc/snort

然后配置snort.conf文件

vim /etc/snort/snort.conf

要改的地方也算不多吧

# Path to your rules files (this can be a relative path)
# Note for Windows users:  You are advised to make this an absolute path,
# such as:  c:\snort\rules
var RULE_PATH rules
var SO_RULE_PATH so_rules
var PREPROC_RULE_PATH preproc_rules

101行这里改成上面的样子

然后是

# If you are using reputation preprocessor set these
# Currently there is a bug with relative paths, they are relative to where snort is
# not relative to snort.conf like the above variables
# This is completely inconsistent with how other vars work, BUG 89986
# Set the absolute path appropriately
var WHITE_LIST_PATH rules/iplists
var BLACK_LIST_PATH rules/iplists

就在刚刚那个的下面,改成上面那个样子
然后退出
新建一个iplists的目录
用来存放的是snort的白名单和黑名单
black_list.rules
white_list.rules

mkdir /etc/snort/rules/iplists
cd /etc/snort/

black_list.rules就在/etc/snort/rules中
把他放进iplists中
而white_list.rules并没有
所以

cd rules
mv black_list.rules iplists
cd iplists
touch white_list.rules

对,创建一个空的白名单
然后回到编辑snort.conf

vim /etc/snort/snort.conf

图片传不上优快云了。。。
然后到524行
将那个output前面的#去掉

你也可以这里把所有的output的#都去掉
然后再往下拖

大概到了546行

有个local.rules,这就是本地模式的规则
但是我感觉吧取消这个local.rules的注释没啥大用
告警日志很少几乎没有
所以干脆一不做二不休

把这里一下的所有rules的注释都取消掉

这里有一个小窍门
就是关于vim使用的

按住ctrl+v

进入可视块编辑模式
然后往下移动光标

到651行

然后按x
然后保存退出
这样就可以了

然后不是说要用snort出来tcpdump文件嘛

下面处理tcpdump文件

把tcpdump文件拖入复制进/etc/snort目录下,也就是现在的目录
然后执行

snort -c snort.conf -r xxx.tcpdump -A full
这一步terminal要在/etc/snort目录下

我这里会出现一个

snort: error while loading shared libraries: libdnet.1: cannot open shared object file: No such file or directory

客官别急
开始这一步

LD_LIBRARY_PATH=/usr/local/lib
export LD_LIBRARY_PATH

就可以执行了
这是我的执行结果(已裁剪)
图传不上来
大家将就看一下行了

Action Stats:
     Alerts:         1707 (  0.263%)
     Logged:         1707 (  0.263%)
     Passed:            0 (  0.000%)
Limits:
      Match:            0
      Queue:            0
        Log:          464
      Event:            0
      Alert:            0
Verdicts:
      Allow:       642621 ( 98.897%)
      Block:            0 (  0.000%)
    Replace:            0 (  0.000%)
  Whitelist:         7166 (  1.103%)
  Blacklist:            0 (  0.000%)
     Ignore:            0 (  0.000%)
      Retry:            0 (  0.000%)

然后切换到/var/log/snort下

cd /var/log/snort

有几个文件

total 32700
8258945 -rwxrwxr-t 1 snort snort  830037 May 14 07:45 alert
8258951 drwsrwxr-t 2 snort snort    4096 May 12 21:30 archived_logs
8258913 -rw------- 1 root  root  8204976 May 13 08:24 merged.log
8258952 -rw------- 1 root  root  2682172 May 13 08:24 snort.alert
8258953 -rw------- 1 root  root  5509148 May 14 07:45 snort.log
8258955 -rw------- 1 root  root  5412732 May 13 08:24 tcpdump.log.1463142231
8258957 -rw------- 1 root  root  5412732 May 13 08:37 tcpdump.log.1463143027
8259107 -rw------- 1 root  root  5412732 May 14 07:45 tcpdump.log.1463226314

那个alert文件就是我们要的

打开看看

vim alert

里面大概就是长这个样子

03/07-10:22:04.439824  [**] [139:1:1] (spp_sdf) SDF Combination Alert [**] [Classification: Senstive Data] [Priority: 2] {PROTO:254} 197.218.177.69 -> 172.16.113.84
03/07-10:22:04.439824  [**] [138:5:1] SENSITIVE-DATA Email Addresses [**] [Classification: Senstive Data] [Priority: 2] {TCP} 197.218.177.69:43741 -> 172.16.113.84:25
03/07-10:22:04.439824  [**] [138:5:1] SENSITIVE-DATA Email Addresses [**] [Classification: Senstive Data] [Priority: 2] {TCP} 197.218.177.69:43741 -> 172.16.113.84:25
03/07-10:22:34.347378  [**] [120:8:2] (http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 172.16.117.52:22644 -> 205.181.112.75:80

好了
写完收工
然后其实snort.conf中include规则rules那里可以继续做文章,比如写自己的rules啊
大家可以多试试
最后是老规矩

有什么想和我交流的

super_big_hero@sina.com

《开源安全运维平台OSSIM最佳实践》实验环境下载
weixin_33712987的博客
07-28 1593
《开源安全运维平台OSSIM最佳实践》实验环境下载  由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。                                          OSSIM开源安全交流QQ群: 179084574       经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了,作者10多年的IT行业...
snort抓包命令
02-14
snort常用抓包命令,如log文件存放位置,抓包的格式等等
Snort里如何将一个tcpdump格式的二进制文件读取打印到屏幕上(图文详解)
weixin_30291791的博客
08-09 242
  不多说,直接上干货!   关于tcpdump二进制格式,这个基本概念不说。   支持tcpdump二进制格式的嗅探器工具,这里我说两个:tcpdump或者ethereal。 [root@datatest SecondWeek]# pwd /root/data/DARPA1999/SecondWeek [root@datatest Sec...
kali sn0int的安装
最新发布
2301_79997029的博客
04-15 320
sn0int是一款开源的侦察框架,能在 Kali Linux 上进行安装使用。
Debian安装snort(续
weixin_53562571的博客
03-23 241
apt与apt-get:最常用的 Linux 包管理命令都被分散在了 apt-get、apt-cache 和 apt-config 这三条命令当中,apt = apt-get、apt-cache 和 apt-config 中最常用命令选项的集合。继续./configure daq动态库找不到 提示可以去XX网站找 我们在提示的snort下载daq-207.tar.gz(wget+压缩包链接 链接可以网页中右键获得) ls 然后tar zxvf解压 这样可以下载到指定的路径下。
TCPDump 使用教程
qq_41661843的博客
02-29 2436
每次服务器网络不通的时候,总会听到一个声音,你去抓包啊,那这里就来介绍下TCPDump,一款强大的网络分析工具,可以捕获网络上的数据包,并进行分析。这款工具在网络管理员和安全专家中非常受欢迎。
Ubuntu系统中安装使用tcpdump来统计HTTP请求
qq_32239417的博客
02-15 787
转载于: http://www.jb51.net/os/Ubuntu/453259.html 这篇文章主要介绍了Ubuntu系统中安装使用tcpdump来统计HTTP请求,tcpdump一般被用来捕捉HTTP包,于是这里就想到了用其来统计网站上url的访问数,需要的朋友可以参考下 安装 tcpdump安装还是比较讨厌的... 1.网上下载获得libpcap和tcpdump ht
debian安装tcpdump
08-12
- *2* [debian8.4安装Snort处理tcpdump文件技术细节](https://blog.csdn.net/isinstance/article/details/51407652)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...
debian源码安装tcpdump
08-13
- *3* [debian8.4安装Snort处理tcpdump文件技术细节](https://blog.csdn.net/isinstance/article/details/51407652)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...
tcpdump 使用
occupy8的专栏
08-14 778
默认tcpdump抓包大小限制在96个BYTE(包括以太网帧) 修改参数为 -s 0 0 则忽略包的大小限制,按包的长度实际长度抓取。 --------------------------------------------- linux tcpdump 命令详解 功能说明:倾倒网络传输数据。 语  法:tcpdump [-adeflnNOpqStvx][-c][-dd][-ddd
Centos7.x搭建Snort IDS入侵检测环境.pdf
09-02
本文详细记录了Centos7.x搭建Snort IDS入侵检测环境,以及在这过程中碰到的问题。使用到的软件包有:snort-2.9.15.1-1.centos7.x86_64.rpm、Pulledpork、 snortrules-snapshot-29151.tar.gz、Barnyard2、Adodb、Base
linux下的抓包工具tcpdump
jack_incredible的专栏
04-10 1167
linux下的抓包工具tcpdump     这篇讲linux下的抓包工具。   抓包工具比较好用的有两个,一个是snort,一个是tcpdump,这次不说snort了,觉得这个工具虽然很强大,但是比较复杂,还是tcpdump比较简单。tcpdump windows、linux版本均有。linux版本可以在以下网站下载:www.tcpdump.org.   安装tcpdump之后,
TCPdump 基础
抟土成人祖,炼石补青天。眼中览银河,手可摘星辰。
08-14 705
tcpdump是网络故障排除、安全分析和流量监控的核心工具之一。尽管它是命令行工具,但它提供了强大的过滤和分析功能,适用于从简单到复杂的网络环境。通过熟练使用tcpdump,你可以深入了解网络流量,并排查各种网络问题。
Linux常用命令——tcpdump
qq_26613259的博客
03-10 996
过滤语法精准定位目标流量。输出解析理解协议细节。文件操作结合工具深入分析。通过实践场景(如调试 API 调用、分析网络延迟),逐步提升网络排查能力!
tcpdump示例和教程
简介
01-15 6411
如果您的工作主要依赖互联网,那么网络问题就很常见。解决和排除这些网络问题是一项具有挑战性的任务。在这种情况下,“tcpdump”工具会发挥作用。“tcpdump”是一种有价值且灵活的工具,用于捕获和分析网络流量以解决网络问题。本指南的重点是了解“tcpdump”命令行实用程序的基本和高级用法。但是,如果您觉得这很困难,那么有一个不太复杂的基于 GUI 的程序称为“Wireshark”,它执行几乎相同的工作,但具有各种附加功能。
tcpdump命令帮助和示例
weixin_43226231的博客
01-26 455
Tcpdump是用于网络数据包分析的基本命令行实用工具。它显示网络上的TCP/IP和其他传输的网络数据包,tcpdump 适用于大多数的类Unix系统操作系统(如Linux,BSD等)。 类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 Windows下的WinPcap。 Tcpdump使用libpcap库,该库有助于捕获所有Linux/Unix发行版中可用的网络...
网络分析工具:tcpdump 安装与使用
Grocery
04-23 3330
tcpdump是一个强大的命令行网络分析工具,广泛用于捕获网络上传输的数据包。是分析网络流量情况,排查网络问题、分析协议的交互以及网络安全监控的常用工具。
【Linux 工具 】 tcpdump详细使用说明
jingling122的博客
06-27 927
tcpdump 是一个在 Unix-like 系统上广泛使用的网络分析工具,用于捕获和分析网络数据包。以下是 tcpdump 的基本使用方法和一些常用选项的详细说明:1. 安装 tcpdump在大多数 Linux 发行版上,可以使用包管理器来安装 tcpdump。2. 使用 tcpdump 命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值