Snort 入侵检测系统搭建指南

原创 已于 2025-12-15 16:30:06 修改 · 680 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #snort

于 2025-12-15 11:54:12 首次发布

一、安装准备:环境依赖安装

在 CentOS7 系统中搭建 Snort,需先安装必备依赖库与拓展包,确保后续安装顺利进行。

复现平台

天枢一体化虚拟仿真平台

操作系统

CentOS7

1.1 基础依赖库安装

执行以下命令安装核心依赖:

sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump

1.2 libnghttp2 依赖安装

最新版 Snort 需依赖 libnghttp2,通过 EPEL 源安装:

sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

sudo yum install -y libnghttp2

1.3 源代码安装额外依赖(仅源码安装方式需执行)

若选择从源代码安装 Snort,需补充安装开发包:

sudo yum install -y zlib-devel libpcap-devel pcre-devel libdnet-devel openssl-devel libnghttp2-devel luajit-devel

二、Snort 安装:两种安装方式

2.1 通过 yum 安装(推荐,简化流程)

直接使用 yum 命令快速安装:

sudo yum install -y snort

2.2通过源代码安装(自定义配置更灵活)

2.2.1. 准备下载目录

mkdir ~/snort_src && cd ~/snort_src

2.2.2. 安装 DAQ(数据采集库)

  • 下载 DAQ 源代码包(可替换版本号为最新版):

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz

  • 解压并进入目录:

tar -xvzf daq-2.0.7.tar.gz

cd daq-2.0.7

  • 编译安装:

./configure && make && sudo make install

  • 返回下载目录:

cd ~/snort_src

2.3安装 Snort

  • 下载 Snort 源代码(可替换版本号为最新版):

wget https://www.snort.org/downloads/archive/snort/snort-2.9.16.1.tar.gz

  • 解压并进入目录:

tar -zxvf snort-2.9.16.1.tar.gz

cd snort-2.9.16.1

  • 编译安装(启用 sourcefire):

./configure --enable-sourcefire && make && sudo make install

三、Snort 配置:NIDS 模式部署

3.1基础环境配置

3.1.1. 更新共享库与创建符号链接

sudo ldconfig

sudo ln -s /usr/local/bin/snort /usr/sbin/snort

3.1.2 创建专用用户与用户组

sudo groupadd snort

sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

3.1.3  建立目录结构与设置权限

# 创建目录

sudo mkdir -p /etc/snort/rules

sudo mkdir /var/log/snort

sudo mkdir /usr/local/lib/snort_dynamicrules

# 设置权限

sudo chmod -R 5775 /etc/snort

sudo chmod -R 5775 /var/log/snort

sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules

sudo chown -R snort:snort /etc/snort

sudo chown -R snort:snort /var/log/snort

sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

3.1.4. 创建规则相关文件

sudo touch /etc/snort/rules/white_list.rules

sudo touch /etc/snort/rules/black_list.rules

sudo touch /etc/snort/rules/local.rules

3.1.5. 复制配置文件(仅源码安装需执行)

sudo cp ~/snort_src/snort-2.9.16.1/etc/*.conf* /etc/snort

sudo cp ~/snort_src/snort-2.9.16.1/etc/*.map /etc/snort

3.2检测规则下载与配置

Snort 提供三种规则集:社区规则(免费)、注册规则(需注册获取 Oink 代码)、订阅规则(付费订阅)。

3.2.1 社区规则(快速测试用)

  • 下载并解压:

wget https://www.snort.org/rules/community -O ~/community.tar.gz

sudo tar -xvf ~/community.tar.gz -C ~/

sudo cp ~/community-rules/* /etc/snort/rules

  • 注释不必要的规则引用:

sudo sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf

3.2.2. 注册用户规则(需注册获取 Oink 代码)

  • 替换 Oink 代码并下载:

wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz?oinkcode=你的Oink代码 -O ~/registered.tar.gz

  • 解压到配置目录:

sudo tar -xvf ~/registered.tar.gz -C /etc/snort

3.3核心配置文件修改(snort.conf)

编辑配置文件:

sudo vim /etc/snort/snort.conf

3.3.1 配置网络地址

# 保护的内部网络(替换为实际IP段)

ipvar HOME_NET 172.16.10.4/24

# 外部网络(默认即可)

ipvar EXTERNAL_NET !$HOME_NET

3.3.2  配置规则文件路径

var RULE_PATH /etc/snort/rules

var SO_RULE_PATH /etc/snort/so_rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

var WHITE_LIST_PATH /etc/snort/rules

var BLACK_LIST_PATH /etc/snort/rules

3.3.3  配置日志输出

output unified2: filename snort.log, limit 128

3.3.4 启用规则集

# 启用本地规则

include $RULE_PATH/local.rules

# 若使用社区规则,添加以下行

include $RULE_PATH/community.rules

四、功能验证:测试 Snort 运行

4.1配置有效性测试

执行以下命令验证配置是否正确:

sudo snort -T -c /etc/snort/snort.conf

成功提示:Snort successfully validated the configuration!,若报错需根据提示修复(常见问题:缺少文件 / 文件夹、规则引用错误)。

4.2警报功能测试

4.2.1 添加测试规则

编辑本地规则文件:

sudo vi /etc/snort/rules/local.rules

添加 ICMP 测试规则:

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

规则说明:

  • alert:触发时产生警报
  • icmp:协议类型
  • any any:源地址 / 端口(所有)
  • $HOME_NET any:目标地址 / 端口(保护网络 + 所有端口)
  • sid:唯一规则 ID(本地规则需≥1000001)
  • rev:规则版本

4.2.2 启动 Snort 并监听

# ens33为网卡名称,可通过ip addr或ifconfig查询

sudo snort -A console -i ens33 -u snort -g snort -c /etc/snort/snort.conf

4.2.3测试效果

从其他计算机 ping 目标服务器,终端会输出 ICMP 警报,按Ctrl+C停止监听。

4.2.4 查看日志

snort -r /var/log/snort/snort.log.时间戳(按TAB补全)

4.3后台服务运行

4.3.1 下载启动脚本(源码安装需执行)

wget https://www.snort.org/documents/snort-startup-script-for-centos -O ~/snortd

sudo chmod 755 ~/snortd && sudo mv ~/snortd /etc/init.d/

4.3.2 启动服务

sudo systemctl daemon-reload

sudo systemctl start snortd

4.3.3 服务管理命令

# 停止服务

sudo systemctl stop snortd

# 重启服务

sudo systemctl restart snortd

# 查看状态

sudo systemctl status snortd

五、可视化 WEB 报警平台搭建

5.1安装基础组件

yum install -y mysql-server mysql-devel php-mysql php-pear php-gd libtool php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc

# 设置MySQL开机自启并启动

chkconfig --level 235 mysqld on

systemctl start mysqld

5.2 MySQL 数据库配置

5.2.1 设置 root 密码

/usr/bin/mysqladmin -u root password '你的密码'

5.2.2 创建 Snort 数据库与用户

mysql -u root -p

# 输入密码后执行以下SQL命令

mysql> create database snort;

mysql> use snort;

mysql> create user 'snort'@'localhost' IDENTIFIED BY '******';

#在以上命令中,“******”是MySQL中⽤户Snort的密码。

#接着创建名为snort、密码为“123456”的数据库⽤户,并赋予名为“snort”的数据库

权限

mysql> grant create,select,update,insert,delete on snort.* to snort@localhost i

dentified by '******';

mysql> set password for 'snort'@'localhost'=password('******'); //为⽤户snor

t设置访问密码

mysql> source ~/barnyard2-2-1.13/schemas/create_mysql; //该命令不可重复输

⼊,⼀定要执⾏此命令

mysql> show tables;

mysql> use snort;

+------------------+

| Tables_in_snort |

+------------------+

| data |

| detail |

| encoding |

| event |

| icmphdr |

| iphdr |

| opt |

Snort⼊侵检测系统搭建(Centos7)

12| reference |

| reference_system |

| schema |

| sensor |

| sig_class |

| sig_reference |

| signature |

| tcphdr |

| udphdr |

+------------------+

16 rows in set (0.00 sec)

mysql> flush privileges; //刷新数据库权限

mysql> exit

5.3 Barnyard2 安装配置(日志转存数据库)

5.3.1 下载并解压 Barnyard2

wget https://github.com/firnsy/barnyard2/archive/v2-1.13.zip

unzip v2-1.13.zip

cd ~/barnyard2-2-1.13/

5.3.2 编译安装

./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql

make

make install

5.3.3 配置 Barnyard2

# 复制配置文件

sudo cp ~/barnyard2-2-1.13/etc/barnyard2.conf /etc/snort/

# 创建日志目录与状态文件

sudo mkdir /var/log/barnyard2

sudo chown snort.snort /var/log/barnyard2

sudo touch /var/log/snort/barnyard2.waldo

sudo chown snort.snort /var/log/snort/barnyard2.waldo

# 编辑配置文件

sudo vim /etc/snort/barnyard2.conf

修改配置文件关键参数:

config logdir:/var/log/barnyard2

config hostname: localhost

config interface: ens33 # 替换为实际网卡

config waldo_file:/var/log/snort/barnyard2.waldo

# 末尾添加数据库配置

output database: log, mysql, user=snort password=你的密码 dbname=snort host=localhost sensor name=sensor01

5.3.4 启动 Barnyard2

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort

5.4安装依赖插件

yum install -y httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel php-gd mcrypt libmcrypt libmcrypt-devel php-pear

# 安装PEAR插件(单次失败可多次尝试)

pear channel-update pear.php.net

pear install mail Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman mail_mime

5.5安装 ADODB

cd ~/snort_src

wget https://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-520-for-php5/adodb-5.20.18.zip

tar -xvzf adodb-5.20.8.tar.gz

sudo mv adodb5 /var/adodb

sudo chmod -R 755 /var/adodb

5.6安装 BASE(WEB 管理平台)

# 下载并解压

wget https://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz

tar -zxvf base-1.4.5.tar.gz

sudo mv base-1.4.5 /var/www/html/base/

# 配置BASE

cd /var/www/html/base

sudo cp base_conf.php.dist base_conf.php

sudo vim /var/www/html/base/base_conf.php

修改 BASE 配置:

$BASE_urlpath = '/base'; # 第50行

$DBlib_path = '/var/adodb/'; # 第80行

$alert_dbname = 'snort'; # 第102行

$alert_host = 'localhost';

$alert_port = '';

$alert_user = 'snort';

$alert_password = '你的密码'; # 第106行,与MySQL中snort用户密码一致

设置文件权限:

sudo chown -R snort:snort /var/www/html/base

sudo chmod o-r /var/www/html/base/base_conf.php

5.7启动 WEB 服务

# 启动mysql服务

service mysqld start

# 启动HTTP服务

service httpd start

# 关闭防火墙(测试环境,生产环境需配置防火墙规则)

systemctl stop firewalld.service

# 查看防火墙状态

firewall-cmd --state

访问 WEB 平台:浏览器输入http://服务器IP/base

六、常见问题与解决方案

6.1编译安装 DAQ 报错:缺少 aclocal-1.15

# 解决方案

sudo yum install -y libtool

# 若仍报错,更新软件源后重试

yum upgrade

6.2启动 Snort 报错:加载 libdnet.1 失败

ln -s /usr/lib64/libdnet.so.1.0.1 /usr/lib64/libdnet.1

6.3安装 MySQL 报错:无 mysql-server 包

# 步骤1:下载MySQL repo源

wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm

# 步骤2:安装repo包

rpm -ivh mysql-community-release-el7-5.noarch.rpm

# 步骤3:安装MySQL

yum install mysql-server

6.4运行 Barnyard2 报错:无法打开 sid-msg.map

sudo touch /etc/snort/sid-msg.map

6.5Ping 测试无日志输出

检查snort.confHOME_NET配置是否与服务器实际 IP 段一致:

cat /etc/snort/snort.conf | grep "ipvar HOME_NET"

6.6监听网卡不匹配

通过以下命令确认正确网卡名称:

ip addr

修改snort.confbarnyard2.conf中的网卡配置(如 eth0、ens33)。

linux(centos)系统安全snort——搭建入侵检测系统IDS
07-18
Linux 入侵检测系统搭建指南 一、环境准备 在搭建 Linux 入侵检测系统(IDS)之前,需要准备以下环境: 1. 安装 Centos6 操作系统,并设置 NAT 获取,让系统可以连接互联网。 2. 安装 wget 工具,因为 Centos6 ...
信息安全Snort入侵检测系统与AppServ集成配置:从安装到数据库配置及BASE界面部署描述了Snort
05-17
内容概要:本文档详细介绍了如何在Windows环境下安装、配置和集成Snort入侵检测系统与AppServ(包括Apache、PHP、MySQL和phpMyAdmin)来构建一个完整的网络安全监控平台。首先,文档描述了Snort 2.8.6的安装步骤,...
4、搭建 Snort 入侵检测系统:操作系统与硬件选型指南
nice1的博客
07-17 83
本文详细介绍了搭建 Snort 入侵检测系统的操作系统与硬件选型指南。内容涵盖操作系统选择(Linux 和 Windows 的优劣势分析)、硬件配置要点(处理器、内存、硬盘、网络接口卡)、RAID 配置建议以及实际案例分析,帮助读者根据网络需求、预算和性能要求构建高效、稳定的 Snort IDS 系统,为网络安全提供可靠保障。
4、搭建 Snort 入侵检测系统的全面指南
11-05 12
本文全面介绍了搭建 Snort 入侵检测系统(IDS)的各个环节,涵盖操作系统选择(Linux 与 Windows 的优劣分析)、硬件配置建议(处理器、内存、硬盘、NIC 和 RAID)、网络部署策略(DMZ、内部网络、边界网络)、与其他安全设备(防火墙、IPS、SIEM)的协同工作方式,以及 Snort 规则编写、系统配置优化和持续监控更新等关键内容。旨在帮助用户构建高效、可靠的 Snort IDS 系统,全面提升网络安全防护能力。
基于Snort的局域网入侵检测系统构建指南
weixin_29041443的博客
08-16 622
局域网入侵检测系统(Intrusion Detection System,IDS)是一种监控计算机网络或系统以发现未授权的活动或违反安全策略的行为的设备或软件应用程序。它在保障网络安全,预防、发现和响应网络威胁方面起着至关重要的作用。考虑一家企业发现其网络中存在性能瓶颈,导致入侵检测系统反应迟缓。问题分析:通过监控工具ELK Stack分析显示,Snort缓冲区已满,导致丢包。解决措施:增加缓冲区大小并优化日志写入策略。实施步骤调整Snort配置文件中的缓冲区参数。
18、Snort入侵检测系统的配置与使用指南
w7x8y9z的博客
07-14 96
本文详细介绍了Snort入侵检测系统的配置与使用,涵盖Snort的安装、规则配置、启动方式、警报模式与日志格式,并深入讲解了如何结合BASE进行警报分析。同时提供了常见问题解决方案、最佳实践建议及未来发展趋势,帮助用户构建高效的网络安全监控系统。
Snort 2.9.0.1 网络入侵检测系统安装指南
weixin_42588877的博客
04-24 939
在现代网络安全防御体系中,Snort以其开源、轻量级和高效的特性,成为许多安全专家和网络管理员的首选入侵检测系统Snort 的核心功能在于提供实时网络流量分析和数据包记录,同时它能够执行对网络攻击和政策违规行为的检测。网络嗅探技术是一种在不干扰网络正常传输的前提下,监控和记录网络数据包的技术。其基本原理是将网络接口设置为混杂模式(promiscuous mode),允许该接口接收经过它的所有网络流量,包括那些并非发送给它的数据包。
全面掌握Snort入侵检测系统指南
weixin_42613017的博客
08-10 901
Snort是一款广泛使用的开源网络入侵检测系统(NIDS),它能够在实时网络流量中进行数据包捕获和分析,以识别潜在的恶意活动。Snort以其高效性、灵活性和易用性而受到安全分析师的青睐。网络数据包的捕获是入侵检测系统(IDS)的基础任务之一。在数据链路层,Snort 使用 libpcap 库进行网络数据包的捕获。libpcap 是一个广泛使用的跨平台库,它能够抓取网络上传输的数据包,并允许程序读取数据包内容。捕获技术的关键在于设置合适的过滤规则,以确保只捕获与安全检测相关的数据包。
Windows平台Snort网络入侵检测系统安装与配置指南
weixin_33670640的博客
07-26 703
Snort是一款轻量级的开源网络入侵防御系统(NIDS),由Martin Roesch在1998年创建。它的设计理念是以最少的资源消耗来实现对网络的实时数据流量分析,捕获恶意活动或违规策略的行为,并作出响应。凭借其出色的性能和灵活性,Snort很快成为IT安全领域最受欢迎的工具之一。Snort的核心功能包括:数据包捕获:能够实时检测网络流量并捕获数据包。协议分析:对数据包内容进行深入分析,包括TCP、UDP和ICMP等多种协议。内容搜索。
信息安全实验三:Snort入侵检测系统的配置与使用指南
gitblog_06778的博客
05-08 668
信息安全实验三:Snort入侵检测系统的配置与使用指南 【下载地址】信息安全实验三Snort入侵检测系统的配置与使用指南 探索网络安全的前沿技术,掌握Snort入侵检测系统的核心技能!本开源项目专注于Snort的配置与使用,帮助您从零开始搭建强大的网络安全防护系统。通过详细的安装指南、配置选项和规则定制,您将学会如何实时...
10、Snort日志配置与ACID环境搭建指南
nice1的博客
07-23 44
本文详细介绍了如何配置Snort的统一日志功能,并搭建基于ACID的分析环境。ACID是一个用于分析和展示Snort警报信息的Web控制台,通过安装和配置Apache、PHP、ADODB等依赖组件,用户可以方便地通过浏览器查看Snort的详细警报信息并进行数据检索与可视化分析。文章适用于Linux和Windows平台,提供全面的安装步骤与配置方法,是网络安全爱好者和系统管理员的理想参考指南
LinuxSnort入侵防御系统搭建指南
Snort是一个开源的网络入侵检测系统(NIDS),它能够进行实时流量分析和数据包记录,以及网络数据包的嗅探。Snort在网络安全领域内被广泛使用,因为它的轻量级设计、高灵活性和强大的检测能力。SnortLinux操作系统...
Linux + MySQL + Sysbench 一键部署和压测教程
soft2001525的博客
12-10 691
安装 Sysbench 并验证创建测试数据库sbtest和用户sbtest使用prepare构造数据表使用run进行各种类型压测使用cleanup清理数据分析每秒统计和最终汇总报告。
先立后破:Linux 下“新建管理员 → 验证 → 禁用 root 远程 SSH”的零翻车笔记
weixin_45626288的博客
12-12 485
本文提供了一套零风险的Linux服务器安全加固流程,重点解决等保2.0要求的"禁用root远程SSH"需求。通过"先立后破"原则,先创建并验证新管理员账号的sudo权限,再禁用root远程登录,全程保持root会话不断开作为应急通道。关键步骤包括:创建新管理员账号、配置sudo权限、严格测试新账号功能、安全修改sshd配置、保留本地root登录权限等。文章特别强调验证环节的重要性,并提供了快速回滚方案,确保运维人员不会因配置失误导致服务器失联。这套方法适用于Kylin
Linux 基础开发工具(2):gcc 、Makefile 与进度条程序实现
2501_92613722的博客
12-09 705
本文详细介绍了Linux下C/C++开发的核心工具链:首先解析gcc/g++编译器从预处理、编译、汇编到链接的完整编译流程;其次讲解Makefile的自动化构建原理与编写方法,包括单文件和多文件项目的构建规则;最后通过实现基础版和业务适配版两种进度条程序,演示了Linux终端程序的开发技巧。文章系统性地梳理了Linux开发环境搭建、项目构建和特色程序实现的全过程,为开发者提供了完整的入门指导方案。掌握这些基础技能后,开发者可快速开展Linux平台下的C/C++项目开发工作。
linux知识点-内核参数相关
gdpgdp_3的博客
12-11 327
sysctl --system 不指定文件情况默认加载from all system configuration files,如下。sysctl -p 默认(不指定文件情况下)加载 /etc/sysctl.conf 中所有的参数。sysctl --system 和sysctl -p的区别。
linux 系统中 Shutting Down, Restarting, Halting 有什么区别 ?
xiaochong0302的博客
12-12 306
Linux 提供了各种命令来执行不同类型的系统关闭。然而,用于指代这些关闭类型的术语可能会让人困惑,尤其是对 Linux 新用户来说。在本文中,我们将讨论关闭、重启和停止之间的区别,以及何时使用这些命令。
linux: gdb调试器
最新发布
加油!
12-12 549
本文介绍了Linux命令行调试工具GDB的基本使用方法。首先说明了GDB在纯命令行环境中的重要性,并解释了core文件的作用及其配置方法。通过一个存在除零错误的示例代码,详细演示了GDB调试流程:包括编译时添加-g选项、设置断点、运行程序、单步执行(step/next)、查看变量(print/watch)、处理库函数跳转(finish)等核心操作。文章还对比了逐语句(s)和逐过程(n)的区别,并提供了常用调试命令速查表,如查看断点(infob)、删除断点(delete)、查看调用栈(bt)等。最后指出GDB
从ext4文件系统到Linux文件树
weixin_28673511的博客
12-12 710
Linux一切皆文件,Linux文件系统架构非常复杂,希望本文能够帮助你进一步了解Linux文件。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值