snort与其基础环境的安装与配置

一、实验目的及要求

1. 熟悉基础环境的搭建和snort的安装配置

 

二、实验设备（环境）及要求

   PC机, VC++等,虚拟云平台

三、实验内容与步骤

1.进入/home/software目录内，用“tar zxvf libpap-1.0.0.tar.gz”命令解压libpap-1.0.0.tar.gz。

2.进入解压后的目录，用“./comfigure”命令进行配置。

3.配置完成后用”make && make install”进行安装。

4.重复1、2、3步骤安装daq-2.0.4.和snort-2.9.7.0

5.配置snort和bar：用mkdir创建基本目录，用touch和cp进行文件的添加。

6.编辑snort：执行“vim /etc/snort/snort.conf”,修改路径变量，设置log目录，配置输出插件。

7.解压/home/software/下的rules文件到/etc/snort

8.解压后将sid-msg.map复制到etc/snort/目录下

9.使用命令“snort –T –i eth0 –c /etc/snort/snort.conf”进行测试。

 

四、实验结果与数据处理

1.解压libpap-1.0.0.tar.gz

 

 

2../configure进行配置

 

3.“make && make install”进行安装

 

 

4.安装daq-2.0.4.

 

 

5.安装snort-2.9.7.0

 

6.

 

 

7.修改路径

 

 

 

8.设置log目录

9.配置输出插件

-

10. 将rules解压到/etc/snort，并将sid-msg.map复制到/etc/snort

11.测试snort

 

 

 

五、分析与讨论

   通过这个实验，我学会了：

1. 熟悉基础环境的搭建和snort的安装配置；
2. 明白了snort的原理：Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log（不报警但记录网络流量）五种响应的机制。Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。