Kali 下安装snort并且配置规则(保姆级教学)

2023-10-11 11:10
文章标签 配置 教学 安装 规则 保姆 kali snort

本文主要是介绍Kali 下安装snort并且配置规则(保姆级教学),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!

参照了以下作者的安装教程:

(11条消息) 开源入侵检测系统—Snort安装_Thgilil的博客-CSDN博客

(11条消息) bench.h:39:10: 致命错误:rpc/rpc.h:没有那个文件或目录-CSDN博客

(11条消息) snort 检测nmap_基于Kali的Snort配置和入侵检测测试_寻找猫的博客-CSDN博客

 下面便进入正题吧,以下是snort的安装第一步:

首先是先安装好以下几个包:
 

apt-get install flex
apt-get install bison
apt-get install libpcap-devapt-get isnatll libpcre3-dev
apt-get isnatll libpcre3-dev
apt-get install zlibig-dev

如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)

接着先去snort官网下载daq

 右键复制链接地址,接着输入以下指令:

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gztar -zxvf daq-2.0.7.tar.gzcd daq-2.0.7./configuremake make install

接下来在安装snort前,我们先安装LuaJIT库

wget https://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz --no-check-certificatetar -xvzf LuaJIT-2.1.0-beta3.tar.gzcd LuaJIT-2.1.0-beta3/src makecd .. make install

安装好后,我们便可以下载安装snort了,老样子,和装daq一样的,右键复制snort的链接网址,然后下载。

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gztar -xvzf snort-2.9.20.tar.gzcd snort-2.9.20.tar.gz./configure --enable-sourcefiremake make install

会发现,报错了,这时按照提醒的安装openssl库

apt-get install openssl

再用./configure --enable-sourcefire指令安装snort时,我遇到了一个很奇怪的报错:

bench.h:39:10: 致命错误:rpc/rpc.h:没有那个文件或目录

这个报错折磨了我很久,后面发现了解决方法:

将/usr/include/tirpc/rpc/*复制到/usr/include/rpc/文件夹,解决了丢失rpc.h的问题,切记rpc下的所有文件都要复制过去,并且和rpc一个文件夹的另外两个文件需要复制到include目录下。

此时我们再用./configure --enable-sourcefire指令安装snort,会发现安装成功了。(判断是否成功可以用 snort -h指令判断)

但是,当我用snort -v 时会发现全是warning。要通过安装以下服务进行配置

首先安装 web 服务组件 LAMP
Apache

sudo systemctl start nginxsudo systemctl status nginx //检测是否在运行sudo apt-get install apache2sudo systemctl start apache2sudo systemctl start firewalld //启动防火墙sudo systemctl enable firewalld //开机自动启动//防火墙设置开启80端口
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload//查看80端口
apt-get install lsoflsof -i:80

浏览器访问IP后出现Apache页面证明成功!

接下来安装Mysql

wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpmrpm -ivh mysql-community-release-el7-5.noarch.rpm//检查是否安装成功
rpm -qa | grep mysql//启动mysql服务
systemctl start mysqld.service
systemctl enable mysqld.service//mysql 安全设置
mysql_secure_installation

然后安装PHP

apt install php
apt install php-mysql
apt install -y php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap //安装php后重启apache使其生效
systemctl restart httpd.service

此时我们的snort便成功下载好啦!接下来便是修改规则。

创建snort用户和组,其中snort为非特权用户

groupadd snort
useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

创建snort目录
 

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules#创建储存规则文件
touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map#创建日志目录
mkdir /var/log/snort
mkdir /var/log/snort/archived_logs#修改文件权限
chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules#修改文件属主
chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules#将配置文件从源文件复制到/etc/snort/中
cd /snort-2.9.18.1/etc/    # (进入snort安装目录,每个人可能不同)cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snortcd /root/snort-2.9.18.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor
cp * /usr/local/lib/snort_dynamicpreprocessor/

配置规则

wget https://www.snort.org/downloads/community/community-rules.tar.gztar -xvzf community-rules.tar.gzcp community-rules/* /etc/snort/rules/vim /etc/snort/snort.conf//在45行附近  ipvar HOME_NET <any>修改为本机的内部网络
ipvar HOME_NET <192.168.132>.1/24  //例如//在104行附近  配置规则文件路径
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/prepproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists
var BLACK_LIST_PATH /etc/snort/rules/iplists//在515行  output unified2:....... 之后添加
output unified2: filename snort.u2, limit 128#546行,取消注释local.rules文件,后面的 include 文件均注释掉
include $RULE_PATH/local.rules
//记住,后面的全部注释掉,不然后面会报错

接着保存且退出,用以下指令检测是否成功

snort -T -c /etc/snort/snort.conf

 若出现以上红框部分则证明成功了。

接下来,便是实验部分了,以下是重点!!!

vim /etc/snort/rules/local.rules //打开规则文件,写入以下规则//检测NMAP Ping扫描
alert icmp any any -> 192.168.132.128 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000001; rev: 1;)//检测NMAP TCP扫描
alert tcp any any -> 192.168.132.128 any (msg: "NMAP TCP Scan";sid:10000002;rev:2;)//检测NMAP UDP扫描
alert udp any any -> 192.168.132.128 any ( msg:"Nmap UDP Scan"; sid:10000003; rev:1; )//检测访问 80 端口
alert tcp any any -> 192.168.132.128 80 (msg:"A test guys";reference:"A Robot";sid:1)//检测NMAP XMAS扫描
alert tcp any any -> 192.168.132.128 any (msg:"Nmap XMAS Tree Scan"; flags:FPU; sid:1000004; rev:1; )//检测Fing扫描
alert tcp any any -> 192.168.132.128 any (msg:"Nmap FIN Scan"; flags:F; sid:1000005; rev:1;)

保存退出后,先开一个终端用ifconfig -a指令查看自己的网络接口名称,比如我的是eth0

 接着输入snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0(切记这里换成你的接口名称) 激活snort控制台

以下便是对其部分操作实验返回的数据(没放全):

外界主机Ping目标靶机:

snort检测到的:

NMAP TCP 扫描

Snort反馈结果:

Nmap UDP扫描:

Snort检测结果:

好啦,希望以上的教程可以帮助到您!

这篇关于Kali 下安装snort并且配置规则(保姆级教学)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/187634

相关文章

Zookeeper安装和配置说明

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现
阅读更多...
CentOS7安装配置mysql5.7 tar免安装版

CentOS7安装配置mysql5.7 tar免安装版

一、CentOS7.4系统自带mariadb # 查看系统自带的Mariadb[root@localhost~]# rpm -qa|grep mariadbmariadb-libs-5.5.44-2.el7.centos.x86_64# 卸载系统自带的Mariadb[root@localhost ~]# rpm -e --nodeps mariadb-libs-5.5.44-2.el7
阅读更多...
Centos7安装Mongodb4

Centos7安装Mongodb4

1、下载源码包 curl -O https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.2.1.tgz 2、解压 放到 /usr/local/ 目录下 tar -zxvf mongodb-linux-x86_64-rhel70-4.2.1.tgzmv mongodb-linux-x86_64-rhel70-4.2.1/
阅读更多...
hadoop开启回收站配置

hadoop开启回收站配置

开启回收站功能,可以将删除的文件在不超时的情况下,恢复原数据,起到防止误删除、备份等作用。 开启回收站功能参数说明 (1)默认值fs.trash.interval = 0,0表示禁用回收站;其他值表示设置文件的存活时间。 (2)默认值fs.trash.checkpoint.interval = 0,检查回收站的间隔时间。如果该值为0,则该值设置和fs.trash.interval的参数值相等。
阅读更多...
NameNode内存生产配置

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam
阅读更多...
wolfSSL参数设置或配置项解释

wolfSSL参数设置或配置项解释

1. wolfCrypt Only 解释:wolfCrypt是一个开源的、轻量级的、可移植的加密库,支持多种加密算法和协议。选择“wolfCrypt Only”意味着系统或应用将仅使用wolfCrypt库进行加密操作,而不依赖其他加密库。 2. DTLS Support 解释:DTLS(Datagram Transport Layer Security)是一种基于UDP的安全协议,提供类似于
阅读更多...
Centos7安装JDK1.8保姆版

Centos7安装JDK1.8保姆版

工欲善其事,必先利其器。这句话同样适用于学习Java编程。在开始Java的学习旅程之前,我们必须首先配置好适合的开发环境。 通过事先准备好这些工具和配置,我们可以避免在学习过程中遇到因环境问题导致的代码异常或错误。一个稳定、高效的开发环境能够让我们更加专注于代码的学习和编写,提升学习效率,减少不必要的困扰和挫折感。因此,在学习Java之初,投入一些时间和精力来配置好开发环境是非常值得的。这将为我
阅读更多...
【Python编程】Linux创建虚拟环境并配置与notebook相连接

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal
阅读更多...
安装nodejs环境

安装nodejs环境

本文介绍了如何通过nvm(NodeVersionManager)安装和管理Node.js及npm的不同版本,包括下载安装脚本、检查版本并安装特定版本的方法。 1、安装nvm curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.0/install.sh | bash 2、查看nvm版本 nvm --version 3、安装
阅读更多...
计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2