入侵检测系统Snort的安装、配置与测试（转载）

桃扇骨 2023-01-17 09:26 167阅读 0赞

[https://www.cnblogs.com/thresh/p/12019466.html][https_www.cnblogs.com_thresh_p_12019466.html]    红色部分是坑

在Ubuntu 16.04下安装snort

在配置过程中，需要弄清楚snort的数据流向，这对配置非常重要，也方便我们排错。

具体的数据流向为：

snort->Barnyard2->mysql->base

snort将告警信息通过Barnyard2写入mysql，base读取mysql中的数据显示出来。

## ***1***|***1*****安装snort** ##

首先，新建一个文件夹来保存需要的tar包的文件夹

\#mkdir ~/snort\_src  
\#cd ~/snort\_src

安装必备的组件

\#sudo apt-get install -y build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev liblzma-dev openssl libssl-dev

build-essential：提供用于编译软件的构建工具（GCC等）。

bison，flex：DAQ所需的解析器（DAQ将在下面安装）。

libpcap-dev：Snort所需的网络流量捕获库。

libpcre3-dev：支持Snort所需正则表达式的函数库。

libdumbnet-dev：libdnet库为几个低层网络例程提供了一个简化的可移植接口。许多安装Snort的指南都是从源代码安装此库的，尽管这不是必需的。

zlib1g-dev：Snort所需的压缩库。

liblzma-dev：提供对swf文件的解压缩（adobe flash）

openssl和libssl-dev：提供SHA和MD5文件签名

Snort所需的最后一个库是[Nghttp2][]的开发库

\#sudo apt-get install -y libnghttp2-dev

在snort官网下载数据采集器（DAQ）来抽象对数据包捕获库的调用

\#cd ~/snort\_src  
\#wget https://snort.org/downloads/snort/daq-2.0.6.tar.gz  
\#tar -xvzf daq-2.0.6.tar.gz  
\#cd daq-2.0.6  
\#./configure  
\#make  
\#sudo make install

源码安装snort

\#cd ~/snort\_src  
\#wget https://snort.org/downloads/snort/snort-2.9.9.0.tar.gz  
\#tar -xvzf snort-2.9.9.0.tar.gz  
\#cd snort-2.9.9.0  
\#./configure --enable-sourcefire  
\#make  
\#sudo make install

更新共享库

\#sudo ldconfig

Snort安装会将Snort二进制文件放在**/ usr / local / bin / snort**，因此，创建到**/ usr / sbin / snort**的符号链接

\#sudo ln -s /usr/local/bin/snort /usr/sbin/snort

安装后输入snort -V看到以下内容

[![img][]][img 1]

## ***1***|***2*****将snort配置为NIDS** ##

基本配置：出于安全原因， Snort应该以非特权用户身份运行，创建一个**snort**用户和组

\#sudo groupadd snort  
\#sudo useradd snort -r -s /sbin/nologin -c SNORT\_IDS -g snort

创建snort需要的文件和文件夹

\# 创建Snort目录:  
\#sudo mkdir /etc/snort  
\#sudo mkdir /etc/snort/rules  
\#sudo mkdir /etc/snort/rules/iplists  
\#sudo mkdir /etc/snort/preproc\_rules  
\#sudo mkdir /usr/local/lib/snort\_dynamicrules  
\#sudo mkdir /etc/snort/so\_rules

\# 创建一些存储规则和ip列表的文件  
\#sudo touch /etc/snort/rules/iplists/black\_list.rules  
\#sudo touch /etc/snort/rules/iplists/white\_list.rules  
\#sudo touch /etc/snort/rules/local.rules  
\#sudo touch /etc/snort/sid-msg.map

\# 创建日志文件  
\#sudo mkdir /var/log/snort  
\#sudo mkdir /var/log/snort/archived\_logs

\# 调整权限  
\#sudo chmod -R 5775 /etc/snort  
\#sudo chmod -R 5775 /var/log/snort  
\#sudo chmod -R 5775 /var/log/snort/archived\_logs  
\#sudo chmod -R 5775 /etc/snort/so\_rules  
\#sudo chmod -R 5775 /usr/local/lib/snort\_dynamicrules

\# 改变文件夹的所有权  
\#sudo chown -R snort:snort /etc/snort  
\#sudo chown -R snort:snort /var/log/snort  
\#sudo chown -R snort:snort /usr/local/lib/snort\_dynamicrules

将解压后snort中的文件复制到我们新建的文件夹中

\#cd ~/snort\_src/snort-2.9.9.0/etc/  
\#sudo cp \*.conf\* /etc/snort  
\#sudo cp \*.map /etc/snort  
\#sudo cp \*.dtd /etc/snort

\#cd ~/snort\_src/snort-2.9.9.0/src/dynamic-\#preprocessors/build/usr/local/lib/snort\_dynamicpreprocessor/  
\#sudo cp \* /usr/local/lib/snort\_dynamicpreprocessor/

基本的文件结构如下：

[![img][img 2]][img_img 2]

编辑snort配置文件

注释掉Snort导入默认规则文件集的行

\#sudo sed -i 's/include \\$RULE\\\_PATH/\#include \\$RULE\\\_PATH/' /etc/snort/snort.conf  
  
修改snort.conf文件（这里使用gedit编辑器）  
\#sudo gedit /etc/snort/snort.conf

文件中修改如下 \#配置网络信息，这里的IP是192.168.147.138，所以ip如下

ipvar HOME\_NET 192.168.0.0/16

我们需要告诉Snort我们之前创建的所有文件夹的位置。这些设置也是**snort.conf**文件的一部分

var RULE\_PATH /etc/snort/rules           \# 104行左右  
var SO\_RULE\_PATH /etc/snort/so\_rules       \# 105行左右  
var PREPROC\_RULE\_PATH /etc/snort/preproc\_rules   \# 106行左右  
var WHITE\_LIST\_PATH /etc/snort/rules/iplists   \# 113行左右  
var BLACK\_LIST\_PATH /etc/snort/rules/iplists   \# 114行左右

\#启用规则文件

include $RULE\_PATH/local.rules               \#取消注释，在545行左右

测试snort

\#sudo snort -T -c /etc/snort/snort.conf -i ens33   \#ens33是网卡，可用ifconfig查看

然后我们看到如下结果，配置成功

[![img][img 3]][img_img 3]

接下里，编辑规则文件，编写两条基本的规则

\#sudo gedit /etc/snort/rules/local.rules

[![img][img 4]][img_img 4]

[![img][img 5]][img_img 5]

保存后退出

开始测试

\#sudo snort -T -c /etc/snort/snort.conf -i ens33

可以看到如下结果

[![img][img 6]][img_img 6]

开始检验，用一台别的主机ping snort的主机

\#sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens33

可以看到如下结果

[![img][img 7]][img_img 7]

到这里，基本的测试规则就完成了

在规则中，没有关于ARP欺骗检测规则定义，但是可以通过snort的内置模块进行检测。

具体配置如下

在snort.conf文件中配置

\#sudo gedit /etc/snort/snort.conf

将网关地址IP地址和MAC地址双向绑定

[![img][img 8]][img_img 8]

[![img][img 9]][img_img 9]

用科来数据包播放器发送ARP欺骗报文(也可以通过kali发送ARP欺骗报文)，执行以下命令

\#sudo /usr/local/bin/snort -A -q -u snort -g snort -c /etc/snort/snort.conf -t ens33

可以看到如下结果，检测到欺骗报文。

[![img][img 10]][img_img 10]

## ***1***|***3*****安装Barnyard2和配置Mysql** ##

下一步，安装Barnyard2，这是一个专用的后台处理程序，将有助于减少Snort服务器上的负载

安装一些必备组件

安装mysql时系统会提示输入root密码，这里我使用的密码为123

\#sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

编辑snort.conf文件

\#sudo vi /etc/snort/snort.conf

\#添加一行以告诉Snort以二进制形式输出事件。在snort.conf中的第520行之后（该行为注释掉的示例），添加以下行并保存文件：

`output unified2: filename snort.u2, limit 128`

接下来，安装Barnyard2

去到需要安装的目录下

\#cd ~/snort\_src  
\#wget https://github.com/firnsy/barnyard2/archive/master.tar.gz -O barnyard2-Master.tar.gz  
\#tar zxvf barnyard2-Master.tar.gz  
\#cd barnyard2-master  
\#autoreconf -fvi -I ./m4

Barnyard2需要访问**dnet.h**库，该库是我们先前与Ubuntu libdumbnet软件包一起安装的，创建一个链接

\#sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h  
\#sudo ldconfig

根据系统结构，运行Barnyard2在MySQL的库（这里时64位的）

\#./configure --with-mysql --with-mysql-libraries=/usr/lib/x86\_64-linux-gnu

然后继续

\#make  
\#sudo make install

测试barnyard2是否安装成功

\#barnyard2 -V

[![img][img 11]][img_img 11]

为Snort配置为使用Barnyard2，从源程序包中复制一些文件

\#sudo cp ~/snort\_src/barnyard2-master/etc/barnyard2.conf /etc/snort/  
\#sudo mkdir /var/log/barnyard2  
\#sudo chown snort.snort /var/log/barnyard2  
\#sudo touch /var/log/snort/barnyard2.waldo  
\#sudo chown snort.snort /var/log/snort/barnyard2.waldo

创建数据库

\#输入的密码为安装时设定的密码

\#mysql -u root -p  
mysql> create database snort;  
mysql> use snort;  
mysql> source ~/snort\_src/barnyard2-master/schemas/create\_mysql  
mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123';  
mysql> grant create, insert, select, delete, update on snort.\* to 'snort'@'localhost';  
mysql> exit

创建数据库后，要将信息告诉Baenyard2，编辑barnyard2.conf文件

\#sudo gedit /etc/snort/barnyard2.conf

在文件的末尾添加（末尾有关于数据库的配置，可以选择取消注释，然后修改）

output database: log, mysql, user=snort password=123 dbname=snort host=localhost sensor name=sensor01

然后运行如下命令：

\#sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort

运行结果如图，等待数据传入

[![img][img 12]][img_img 12]

## ***1***|***4*****安装base** ##

不要使用php5.6,因为5.6已经不支持mysql包了。

./includes/base\_state\_common.inc.php  
BASE1.4.5版本中有个qmagic函数已经被弃用，请改成qstr

[https://github.com/ADOdb/ADOdb/issues/684][https_github.com_ADOdb_ADOdb_issues_684]

直接使用lnmp环境安装，mysql选用5.4，php也用5.4

创建可视化界面，这里使用的是base，base需要php5，但是ubuntu16中以不可用，转为了php7（如果配置不对，后面配置base时会出现错误，导致有些页面显示不出来）

安装php5软件包

\#sudo add-apt-repository ppa:ondrej/php  
\#sudo apt-get update  
\#sudo apt-get install -y apache2 libapache2-mod-php5.6 php5.6-mysql php5.6-cli php5.6 \#php5.6-common php5.6-gd php5.6-cli php-pear php5.6-xml

就不要用这个安装php环境了，直接用lnmp包安装，省事

安装pear图像图

\#sudo pear install -f --alldeps Image\_Graph

下载安装adodb

\#cd ~/snort\_src  
\#wget https://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-520-for-\#php5/adodb-5.20.8.tar.gz  
\#tar -xvzf adodb-5.20.8.tar.gz  
\#sudo mv adodb5 /var/adodb  
\#sudo chmod -R 755 /var/adodb

下载base并复制到apache2目录下

\#cd ~/snort\_src  
\#wget http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz  
\#tar xzvf base-1.4.5.tar.gz  
\#sudo mv base-1.4.5 /var/www/html/base/

创建和配置base文件

\#cd /var/www/html/base  
\#sudo cp base\_conf.php.dist base\_conf.php  
\#sudo vi /var/www/html/base/base\_conf.php

文件配置如下

$BASE\_urlpath = '/base';       \# 50  
$DBlib\_path = '/var/adodb/';   \# 80  
$alert\_dbname   = 'snort';   \# 102  
$alert\_host   = 'localhost';  
$alert\_port   = '';  
$alert\_user   = 'snort';  
$alert\_password = '123';     \# 106

修改base文件权限

\#sudo chown -R www-data:www-data /var/www/html/base  
\#sudo chmod o-r /var/www/html/base/base\_conf.php

这里也可以不配置base文件，可以在[http://localhost/base][http_localhost_base]中设置

重启apache

\#sudo service apache2 restart

**浏览器打开 http：//localhost/base/index.php**

**可以看到如下结果**

[![img][img 13]][img_img 13]

[https_www.cnblogs.com_thresh_p_12019466.html]: https://www.cnblogs.com/thresh/p/12019466.html
[Nghttp2]: https://nghttp2.org/
[img]: /images/20221021/7a3baa090caf40158f91502c3bf468dc.png
[img 1]: https://img2018.cnblogs.com/i-beta/1721319/201912/1721319-20191210214306585-1748027241.png
[img 2]: https://img-blog.csdnimg.cn/img_convert/0892f5b6f11825e3f959d389bc949c10.png
[img_img 2]: /images/20221021/f6b0a391367b45f09f2bdce246e12515.png
[img 3]: https://img-blog.csdnimg.cn/img_convert/2d08727f7cb14173b5e4dcfe613ea1ae.png
[img_img 3]: /images/20221021/652b983b798c4ceda711c83007dd0d0e.png
[img 4]: https://img-blog.csdnimg.cn/img_convert/06182034288e8b4ffb15dc9accdfa949.png
[img_img 4]: /images/20221021/c9e7801e4d85489c83dfaf53721ff414.png
[img 5]: https://img-blog.csdnimg.cn/img_convert/7223edf78e3f82987314654472ce9e0f.png
[img_img 5]: /images/20221021/b62942b248844b309699e1e43ec50225.png
[img 6]: https://img-blog.csdnimg.cn/img_convert/16a6ff57476a6cc6e8ab5ef8c6e95aa1.png
[img_img 6]: /images/20221021/25d6bcfd48124ef0943284a587180f7b.png
[img 7]: https://img-blog.csdnimg.cn/img_convert/3530102dc493d2bca903ab42a926c508.png
[img_img 7]: /images/20221021/0b7dcae78bf64ab789bf8121c5cb4b56.png
[img 8]: https://img-blog.csdnimg.cn/img_convert/ab0386915464c38e66076d5d4e7a19f4.png
[img_img 8]: /images/20221021/5b451b619cf3489e9b2ae4e4ddaee65b.png
[img 9]: https://img-blog.csdnimg.cn/img_convert/242e048d42f55f8e713f285a4b1a0ab1.png
[img_img 9]: /images/20221021/eca3f62a2c37437b8be44e26f1462eb6.png
[img 10]: https://img-blog.csdnimg.cn/img_convert/826abab71d113bac4ca030925b2de7b7.png
[img_img 10]: /images/20221021/68623cc7b4f9442989bdbf8fcba10ccd.png
[img 11]: https://img-blog.csdnimg.cn/img_convert/877c2f2931f73d8c4bf0306f9d68df6f.png
[img_img 11]: /images/20221021/e5c0aa392189408ea292466e97a0c71f.png
[img 12]: https://img-blog.csdnimg.cn/img_convert/1ef217ca44c902d0bb69dbf2018c5037.png
[img_img 12]: /images/20221021/c75fdae33e9f4906b66c8f0c33a83d4f.png
[https_github.com_ADOdb_ADOdb_issues_684]: https://github.com/ADOdb/ADOdb/issues/684
[http_localhost_base]: http://localhost/base
[img 13]: https://img-blog.csdnimg.cn/img_convert/045fe3cffb4142ee758f6c51f2a3ae9a.png
[img_img 13]: /images/20221021/4ca54297390e4e939df6fdf780370d2e.png