snort與其基礎環境的安裝與配置

一、實驗目的及要求

1. 熟悉基礎環境的搭建和snort的安裝配置

 

二、實驗設備（環境）及要求

   PC機, VC++等,虛擬雲平臺

三、實驗內容與步驟

1.進入/home/software目錄內，用“tar zxvf libpap-1.0.0.tar.gz”命令解壓libpap-1.0.0.tar.gz。

2.進入解壓後的目錄，用“./comfigure”命令進行配置。

3.配置完成後用”make && make install”進行安裝。

4.重複1、2、3步驟安裝daq-2.0.4.和snort-2.9.7.0

5.配置snort和bar：用mkdir創建基本目錄，用touch和cp進行文件的添加。

6.編輯snort：執行“vim /etc/snort/snort.conf”,修改路徑變量，設置log目錄，配置輸出插件。

7.解壓/home/software/下的rules文件到/etc/snort

8.解壓後將sid-msg.map複製到etc/snort/目錄下

9.使用命令“snort –T –i eth0 –c /etc/snort/snort.conf”進行測試。

 

四、實驗結果與數據處理

1.解壓libpap-1.0.0.tar.gz

 

 

2../configure進行配置

 

3.“make && make install”進行安裝

 

 

4.安裝daq-2.0.4.

 

 

5.安裝snort-2.9.7.0

 

6.

 

 

7.修改路徑

 

 

 

8.設置log目錄

9.配置輸出插件

-

10. 將rules解壓到/etc/snort，並將sid-msg.map複製到/etc/snort

11.測試snort

 

 

 

五、分析與討論

   通過這個實驗，我學會了：

1. 熟悉基礎環境的搭建和snort的安裝配置；
2. 明白了snort的原理：Snort能夠對網絡上的數據包進行抓包分析，但區別於其它嗅探器的是，它能根據所定義的規則進行響應及處理。Snort 通過對獲取的數據包，進行各規則的分析後，根據規則鏈，可採取Activation（報警並啓動另外一個動態規則鏈）、Dynamic（由其它的規則包調用）、Alert（報警），Pass（忽略），Log（不報警但記錄網絡流量）五種響應的機制。Snort有數據包嗅探，數據包分析，數據包檢測，響應處理等多種功能，每個模塊實現不同的功能，各模塊都是用插件的方式和Snort相結合，功能擴展方便。