debian8.4下安装Snort处理tcpdump文件技术细节_snort分析相应tcpdump文件-优快云博客

本文链接：https://blog.youkuaiyun.com/isinstance/article/details/51407652

本文详细介绍如何在Debian系统上部署Snort入侵检测系统，包括安装必要的软件包、配置Snort环境、下载及安装Snort软件等步骤，并提供了一些实用的技巧。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

首先你得有个debian系统

转载记得注明出处
http://blog.youkuaiyun.com/isinstance/article/details/51407652

然后才能进行下一步
然后呢就是编辑源

vi /etc/apt/sources.list

然后注释掉原有的deb和cdrom开头的选项
大概就是下图这样子
这里写图片描述
然后添加一个deb源和deb-src源

deb http://mirrors.163.com/debian/ jessie main
deb-src http://mirrors.163.com/debian/ jessie main

我这里写的是163的源，你也可以换成搜狐的源或者其他的什么
然后就是保存退出

下一步老规矩

apt-get update

因为我这里配置的是本地版的，如果你想搞一个服务器版的话
还得这一步

apt-get install ssh

然后开始配置debian的环境

开始安装一大堆库

apt-get install libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf automake1.9 libpcap0.8 libpcap0.8-dev vim gcc make tool libtool

这是目前要安装的，后面报错的话还得继续安装其他的东西
比如说后面会发现报错一个地方，后来google了一下是要安装一个

apt-get install python-dev

的东西，因为系统不同，也不知道各位的会不会报错
然后就是下载安装snort了
我的版本是snort-2.9.8.2
然后解压

tar zxvf snort-2.9.8.2

cd snort-2.9.8.2

./configure --enable-dynamicplugin

make

make install

也许下一步你还得装一个zlib，去官网下一个也是一样的./configure && make && make install

然后下一步有个daq文件在snort官网

下了也同样的方法安装一下

最后注册一个snort官网，下一个对应你snort版本的rules

注意一定要对应你的版本

下一步

进入root模式

su

输入密码

mkdir /etc/snort

mkdir /var/log/snort

groupadd snort

useradd -g snort snort

chown snort:snort /var/log/snort

/etc/snort目录呢是用于存snort的配置文件的地方

/var/log/snort呢是用于存snort的日志的地方

这里不要弄混了
然后进如snort目录下的etc目录

cd etc

cp *.conf /etc/snort

cp *.map /etc/snort

cp *.dtd /etc/snort

前面不是下了一个rules嘛

我的版本是snortrules-snapshot-2982

一样的解压，然后进入解压完毕的目录

cp * /etc/snort

然后配置snort.conf文件

vim /etc/snort/snort.conf

要改的地方也算不多吧

# Path to your rules files (this can be a relative path)
# Note for Windows users:  You are advised to make this an absolute path,
# such as:  c:\snort\rules
var RULE_PATH rules
var SO_RULE_PATH so_rules
var PREPROC_RULE_PATH preproc_rules

101行这里改成上面的样子

然后是

# If you are using reputation preprocessor set these
# Currently there is a bug with relative paths, they are relative to where snort is
# not relative to snort.conf like the above variables
# This is completely inconsistent with how other vars work, BUG 89986
# Set the absolute path appropriately
var WHITE_LIST_PATH rules/iplists
var BLACK_LIST_PATH rules/iplists

就在刚刚那个的下面，改成上面那个样子
然后退出
新建一个iplists的目录
用来存放的是snort的白名单和黑名单
black_list.rules
white_list.rules

mkdir /etc/snort/rules/iplists

cd /etc/snort/

black_list.rules就在/etc/snort/rules中
把他放进iplists中
而white_list.rules并没有
所以

cd rules

mv black_list.rules iplists

cd iplists

touch white_list.rules

对，创建一个空的白名单
然后回到编辑snort.conf

vim /etc/snort/snort.conf

图片传不上优快云了。。。
然后到524行
将那个output前面的#去掉

你也可以这里把所有的output的#都去掉
然后再往下拖

大概到了546行

有个local.rules，这就是本地模式的规则
但是我感觉吧取消这个local.rules的注释没啥大用
告警日志很少几乎没有
所以干脆一不做二不休

把这里一下的所有rules的注释都取消掉

这里有一个小窍门
就是关于vim使用的

按住ctrl+v

进入可视块编辑模式
然后往下移动光标

到651行

然后按x
然后保存退出
这样就可以了

然后不是说要用snort出来tcpdump文件嘛

下面处理tcpdump文件

把tcpdump文件拖入复制进/etc/snort目录下，也就是现在的目录
然后执行

snort -c snort.conf -r xxx.tcpdump -A full

这一步terminal要在/etc/snort目录下

我这里会出现一个

snort: error while loading shared libraries: libdnet.1: cannot open shared object file: No such file or directory

客官别急
开始这一步

LD_LIBRARY_PATH=/usr/local/lib

export LD_LIBRARY_PATH

就可以执行了
这是我的执行结果（已裁剪）
图传不上来
大家将就看一下行了

Action Stats:
     Alerts:         1707 (  0.263%)
     Logged:         1707 (  0.263%)
     Passed:            0 (  0.000%)
Limits:
      Match:            0
      Queue:            0
        Log:          464
      Event:            0
      Alert:            0
Verdicts:
      Allow:       642621 ( 98.897%)
      Block:            0 (  0.000%)
    Replace:            0 (  0.000%)
  Whitelist:         7166 (  1.103%)
  Blacklist:            0 (  0.000%)
     Ignore:            0 (  0.000%)
      Retry:            0 (  0.000%)

然后切换到/var/log/snort下

cd /var/log/snort

有几个文件

total 32700
8258945 -rwxrwxr-t 1 snort snort  830037 May 14 07:45 alert
8258951 drwsrwxr-t 2 snort snort    4096 May 12 21:30 archived_logs
8258913 -rw------- 1 root  root  8204976 May 13 08:24 merged.log
8258952 -rw------- 1 root  root  2682172 May 13 08:24 snort.alert
8258953 -rw------- 1 root  root  5509148 May 14 07:45 snort.log
8258955 -rw------- 1 root  root  5412732 May 13 08:24 tcpdump.log.1463142231
8258957 -rw------- 1 root  root  5412732 May 13 08:37 tcpdump.log.1463143027
8259107 -rw------- 1 root  root  5412732 May 14 07:45 tcpdump.log.1463226314

那个alert文件就是我们要的

打开看看

vim alert

里面大概就是长这个样子

03/07-10:22:04.439824  [**] [139:1:1] (spp_sdf) SDF Combination Alert [**] [Classification: Senstive Data] [Priority: 2] {PROTO:254} 197.218.177.69 -> 172.16.113.84
03/07-10:22:04.439824  [**] [138:5:1] SENSITIVE-DATA Email Addresses [**] [Classification: Senstive Data] [Priority: 2] {TCP} 197.218.177.69:43741 -> 172.16.113.84:25
03/07-10:22:04.439824  [**] [138:5:1] SENSITIVE-DATA Email Addresses [**] [Classification: Senstive Data] [Priority: 2] {TCP} 197.218.177.69:43741 -> 172.16.113.84:25
03/07-10:22:34.347378  [**] [120:8:2] (http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 172.16.117.52:22644 -> 205.181.112.75:80

好了
写完收工
然后其实snort.conf中include规则rules那里可以继续做文章，比如写自己的rules啊
大家可以多试试
最后是老规矩