猪猪IDS装起来——Snort安装指南

先给一直关注我的朋友们道个歉，大学之后更新速度趋近于零

这学期开始了网络攻击检测的学习，所以我们先把最有名的开源NIDS——snort装起来

这里说明一下，我是在虚拟机Ubuntu16上进行snort安装的
在双系统和其他版本的Ubuntu上，操作也都大同小异

最简单的，使用Linux自带软件安装包，实现一键安装

sudo apt install snort

这样的安装会有一个弊端，软件包中二进制形式的snort肯定不是最新版本
想要安装newest版本，还需要非常复杂的操作，往下看吧

这里多说一句，在配置snort的时候，需要设置监听端口
可以通过以下两天命令查看本机端口并修改snort设定
ifconfig
sudo dpkg --configure -a

首先，我们去get一个最新版本的snort
这里强烈建议将snort配套的daq包也下载下来，之后会有用处

把安装包拖进虚拟机，建立一个工作文件夹

sudo mkdir soft

你问我怎么把安装包拖进虚拟机？
当然是用鼠标（bushi
在虚拟机高级设置里，将文件拖放选项设置为 " 双向 "
这样就可以非常方便的进行主机和虚拟机之间的文件拖拽共享了

如果拖拽复制后并没有看见文件出现在ta应该在的地方
就到Computer文件夹中的Template文件夹下找一找

还没找到？拖拽复制不成功？
那就在Template文件夹下现新建一个文件夹tmp
重新拖拽，文件大概率就会出现在tmp文件夹里面了

解压snort压缩包

tar -zxvf snort-2.9.19.tar.gz
cd snort-2.9.19/

如果感兴趣，我们可以进入doc文件夹下，打开INSTALL文件
在这个文件里，写明了安装步骤和注意事项
需要强调的是：

如果你的电脑上已经安装过了snort，最好现在立刻马上就uninstall旧版本，防止之后的冲突

sudo apt-get uninstall snort

然而我们并不愿意看INSTALL文件（我猜你们都不愿意看吧）
那就跟着我继续之后的操作吧

尝试着运行一下

./configure

如果你在这一步没有出现任何问题，直接成功了
那么恭喜你，可以跳过以下的长篇大论

常见问题

提示缺少pcre headers

两种处理方法

直接apt安装pcre，记住要安装develop版本，即后缀为-dev的文件（如果你的linux软件包内包含的话）
往下看

首先，当然还是上网找个pcre包

这里还是要感叹一下，外网东西真多，翻墙解决一切
当然如果你找不到这些资源，没关系，可以悄咪咪私信我发给你，谁让我是亚萨西怪呢

安装一下pcre库

在make install的时候千万不要忘记sudo

tar -zxvf pcre-8.45.tar.gz
cd pcre-8.45/
./configure
make
make check
sudo make install

提示缺少dnet headers

两种处理方法

直接apt安装libdumpnet，记住要安装develop版本，即后缀为-dev的文件

sudo apt-get install libdumpnet-dev

往下看

首先，上网找个libdnet包
有样学样安装一下

tar -zxvf libdnet-1.11.tar.gz
cd libdnet-1.11/
./configure
make
make check
sudo make install

提示缺少daq

啊哈，我们之前下载的daq有了用处

tar -zxvf daq-2.0.7.tar.gz
cd daq-2.0.7/
./configure
make
make check
sudo make install

如果在运行configure的时候出现了错误，提示缺少bison和flex编译器，按照提示安装一下就可以了

sudo apt-get install bison
sudo apt-get install flex

这里吐槽一下，如果你的软件安装包里面没有bison和flex
可能就又要上网找资源了

其他错误

解决方法：按照提示操作
例如：

./configure --disable-open-appid

到这里，你的configue应该是终于终于终于成功了
开始安装吧~~

make
make install
sudo make install

安装成功后，你就可以在src文件夹下看到生成的snort文件啦

尝试着运行一下？

如果在运行的时候出现了error while loading shared libraries的问题
可以尝试一下以下三种方法

方法一

export LD_LIBRARY_PATH=/usr/local/lib:$LD_LIBRARY_PATH

方法二

把libdnet.so.1所在lib位置加入到 /etc/ld.so.conf文件当中
只要在/etc/ld.so.conf中加入/usr/local/lib这一行，
一般都可以解決此问题，不仅仅是对于libdnet.so.1，大部分的so都存在这/usr/local/lib这个目录里面
最后将/etc/ld.so.conf保存后，还要执行ldconfig 才会使更改生效

sudo vi /etc/ld.so.conf
# 加入单独一行/usr/local/lib
# 保存退出
sudo ldconfig

方法三

创建一个符号链接

sudo ln -s /usr/local/lib/libdnet.1 /usr/lib/libdnet.1

原因：

liddnet.1文件在/usr/local/lib目录下，但是系统默认的装载库路径却没有这个．

为了加快程序执行时对共享库的定位速度，避免使用搜索路径，直接读取库列表文件/etc/ld.so.cache．

如果出现下图的问题：

仔细观察一下，就会发现提示了not permitted
那多半加上sudo就能解决了

sudo snort

至此，你终于完成了snort的安装之旅，撒花撒花~~

snort -V,,_     -*> Snort! <*-o"  )~   Version 2.9.19 GRE (Build 85) ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#teamCopyright (C) 2014-2021 Cisco and/or its affiliates. All rights reserved.Copyright (C) 1998-2013 Sourcefire, Inc., et al.Using libpcap version 1.7.4Using PCRE version: 8.45 2021-06-15Using ZLIB version: 1.2.8