0x00 snort是什么？

snort是一款开源的入侵检测系统，由Marty Roesch先生用C语言开发，直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统。

0x01 snort安装

这里主要讲ubuntu下通过编译源码的安装方法

首先，我们在snort官方 www.snort.org 下查看最新版本的源码。

然后在terminal中输入如下指令获取daq源码包和snort源码包

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.11.1.tar.gz

接着解压源码包

tar xvzf daq-2.0.6.tar.gz
tar xvzf snort-2.9.11.1.tar.gz

然后我们安装一下daq所依赖的一些开发包，否则直接编译安装会出现flex、bison和libpcap错误

sudo apt-get install flex
sudo apt-get install bison
sudo apt-get install libpcap-dev

然后先进入解压后daq的路径，进行编译安装

cd daq-2.0.6
./configure && make && make install

结果如下没有报错说明我们安装完成。

接着我们要安装一下snort所依赖的一些开发包，否则配置脚本会由于缺少libpcre-dev、libdumbnet-dev 和zlib开发库而报错。

sudo apt-get install libpcre3-dev
sudo apt-get install libdumbnet-dev
sudo apt-get install zlib1g-dev

然后我们在local创建一个目录,再进入刚才解压的snort目录中，编译安装snort

mkdir /usr/local/snort
./configure --prefix=/usr/local/snort/ --enable-sourcefire && make && make install

结果如下没有报错说明我们安装完成。

然后我们进入刚才创建的目录，并进入它的子目录bin来运行snort

cd /usr/local/snort/bin
./snort

我们可以看到它处在promisc模式（包转储模式）。

至此，我们snort安装完成。