使用Snort探测轻型侵入

　　Snort是被设计用来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。Snort是一个免费的、跨平台的软件包，用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。它可以运行在Linux/UNIX和Win32系统上，你只需要几分钟就可以安装好并可以开始使用它。

　　Snort的一些功能：

　　- 实时通讯分析和信息包记录
　　- 包装有效载荷检查
　　- 协议分析和内容查询匹配
　　- 探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试
　　- 对系统日志、指定文件、Unix socket或通过Samba的WinPopus 进行实时报警

　　Snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的侵入探测系统。遵循开发/自由软件最重要的惯例，Snort支持各种形式的插件、扩充和定制，包括数据库或是XML记录、小帧探测和统计的异常探测等。信息包有效载荷探测是Snort最有用的一个特点，这就意味着很多额外种类的敌对行为可以被探测到。

　　Snort.org 提供一些RPM和tarball。通常我推荐根据需求来建立，但是我在最新稳定版本的tarball上遇到了问题。当这个版本的最终使用期限渐渐逼近时，我没有时间来描述究竟是我太笨了还是Snort的问题。RPM安装就没有任何问题。

　　为了使Snort工作，libpcap是必需安装到你的系统中。用locate来检查：

　　$ locate libpcap 

　　这个将输出以下一些内容：

　　/usr/lib/libpcap.so.0 
　　/usr/lib/libpcap.a 
　　/usr/lib/libpcap.so 
　　/usr/lib/libpcap.so.0.6.2 

　　如果没有这些，到tcpdump.org或者你的Linux安装盘中去找。

　　安装一个安全软件而不验证签名是不明智的。检验你下载的checksum：

　　# md5 snort-1.8.6.tar.gz 

　　或者

　　# md5 snort-1.8.6-1snort.i386.rpm 

　　解压缩tarball：

　　$ tar -xvzf snort-1.8.6.tar.gz 

　　以root身份安装

　　# ./configure 
　　# make 
　　# make install 

　　这是简单形式的安装过程。一些选项被选中以运行Snort的预安装自测；将二进制和目标文件从安装目录中清除，清除操作还有一个卸栽选项。

　　其他的安装选项和需要使用的配置：

　　--with-snmp             允许SNMP报警代码 
    --with-mysql=DIR        支持mysql 
    --with-postgresql=DIR   支持Postgresql数据库 
    --with-openssl=DIR      支持openssl 

　　还有更多的一些选项，可以参见你的tarball文档

　　安装RPM自身非常简单：

　　# rpm -ivh snort-1.8.6-1snort.i386.rpm 

　　你可以在下载Snort的网页上看到，预编译的二进制文件已经被封装，用来维持与其他程序的兼容性，例如mySQL和PostgreSQL

　　# snort -?    打印出最常用的选项 

　　Test-drive是用来保证正确的安装。只监视本地机器，-I=interface：

　　# snort -vdei eth0 

　　用CTRL＋C来停止测试。不要忘了将你的网卡设为混杂模式。Snort将以后台程序形式运行，并会以开启停止形式出现。

　　Packet Sniffer模式

　　这种模式下，只将TCP/IP报头打印出来

　　# snort -v 

　　查看应用层数据

　　# snort -vd 

　　数据联接层报头

　　# snort -vde 

　　记录

　　除非你对16进制很熟悉，你还是将其写入磁盘

　　# snort -vdel /var/log/snort 

　　这里的“-l”表示“log”，记录。告诉Snort记录当地网络的任何事情，-h表示本地：

　　# snort -vdel /var/log/snort -h 192.168.1.0/24 

　　这个为每个主机生成一个单独的目录。如果要将这些都放到一个二进制文件中，使用-b来切换