【正文】 戶端的用戶空間。Prefix=DIR設(shè)置安裝Snort文件的目錄。在運(yùn)行“make install”命令之前，你也可以運(yùn)行“make check”命令來確定Snort的構(gòu)建是否正確。安裝完畢之后，運(yùn)行Snort來看看是否可執(zhí)行文件可以工作。在完成前面的步驟后，Snort的二進(jìn)制文件會(huì)被安裝在/opt/snort/bing目錄中。下面的命令會(huì)顯示新安裝的snort的基本幫助信息和命令行選項(xiàng)。如果你看到這樣的信息，你的Snort就安裝正確了。在下一部分，你將了解如何配置和運(yùn)行Snort。2．2．2．3 安裝完后要做的工作現(xiàn)在你已經(jīng)安裝好了Snort二進(jìn)制文件，但是還有些事情要做： 創(chuàng)建/var/log/snort目錄作為Snort默認(rèn)的存放日至文件的地方。 創(chuàng)建一個(gè)存放配置文件的目錄。我創(chuàng)建的是/opt/snort/etc目錄，你可以創(chuàng)建自己的目錄。 創(chuàng)建或者復(fù)制配置文件到/opt/snort/etc目錄下。 創(chuàng)建目錄/opt/snort/rules并且將默認(rèn)的規(guī)則文件拷貝到里面。，你可以創(chuàng)建自己喜歡的目錄。下面來詳細(xì)解釋這些步驟：首先，創(chuàng)建/var/log/snort目錄讓Snort存放日志文件。你也可以用其它的目錄，但是這個(gè)目錄是慣常使用的。如果你用其他任何目錄，你需要在啟動(dòng)Snort的時(shí)候用命令行選項(xiàng)l來指定。 然后，要?jiǎng)?chuàng)建Snort配置文件。當(dāng)Snort啟動(dòng)的時(shí)候。如果這個(gè)文件在其他目錄中，你也可以用命令行選項(xiàng)c來指定。開始的時(shí)候。另外將源代碼中rules目錄下面的所有文件拷貝到/opt/snort/rules目錄下面。參考下列命令實(shí)現(xiàn)這些步驟：mkdir /opt/snort/etccp /opt/cp /opt/cp /opt/mkdir /opt/snort/rulescp /opt/* /opt/snort/rules。，：var RULE_PATH ../rules 它說明rules文件的位置在名叫rules的目錄下。例如，那么所有的規(guī)則文件就應(yīng)該在/opt/snort/rules目錄下。，那么規(guī)則文件必須在/var/rules目錄中。，../變成./: var RULE_PATH ./ 在下一章中，你將了解更多的關(guān)于Snort規(guī)則的信息，同時(shí)你也將了解如何定義自己的規(guī)則。 ，你將在下一章中了解更多信息。在本書的例子中，Snort的所有源代碼文件在/opt/，如果你用的是不同版本的Snort,該目錄也會(huì)不同。 ,這些參考將在Snort規(guī)則中引用，你會(huì)在下一章了解更多信息。： $Id: ,v 2002/08/28 14:19:15 chrisgreenExp $ The following defines URLs for the references found in therules config reference: system URLconfig reference: bugtraq config reference: cve ?name=config reference: arachNIDS Note, this one needs a suffix as well.... lets add that in abit.config reference: McAfee config reference: nessus ?id=config reference: url :// 注意：。 現(xiàn)在你可以用下面的命令運(yùn)行Snort了，這個(gè)命令會(huì)顯示啟動(dòng)信息，然后監(jiān)聽eth0接口。注意為了避免一些困擾。[root@conformix snort] /opt/snort/bin/snort c /opt/snort/etc/Initializing Output Plugins!Log directory = /var/log/snortInitializing Network Interface eth0== Initializing Snort ==Decoding Ethernet on interface eth0Initializing Preprocessors!Initializing Plugins!Parsing Rules file /opt/snort/etc/+++++++++++++++++++++++++++++++++++++++++++++++++++Initializing rule chains...No arguments to frag2 directive, setting defaults to:Fragment timeout: 60 secondsFragment memory cap: 4194304 bytesFragment min_ttl: 0Fragment ttl_limit: 5Fragment Problems: 0Stream4 config:Stateful inspection: ACTIVESession statistics: INACTIVESession timeout: 30 secondsSession memory cap: 8388608 bytesState alerts: INACTIVEEvasion alerts: INACTIVEScan alerts: ACTIVELog Flushed Streams: INACTIVEMinTTL: 1TTL Limit: 5Async Link: 0No arguments to stream4_reassemble, setting defaults:Reassemble client: ACTIVEReassemble server: INACTIVEReassemble ports: 21 23 25 53 80 143 110 111 513Reassembly alerts: ACTIVEReassembly method: FAVOR_OLD_decode arguments:Unicode decodingIIS alternate Unicode decodingIIS double encoding vulnFlip backslash to slashInclude additional whitespace separatorsPorts to decode on: 80rpc_decode arguments:Ports to decode RPC on: 111 32771telnet_decode arguments:Ports to decode telnet on: 21 23 25 119Conversation Config:KeepStats: 0Conv Count: 32000Timeout : 60Alert Odd?: 0Allowed IP Protocols: AllPortscan2 config:log: /var/log/snort/scanners_max: 3200targets_max: 5000target_limit: 5port_limit: 20timeout: 601273 Snort rules read...1273 Option Chains linked into 133 Chain Headers0 Dynamic rules+++++++++++++++++++++++++++++++++++++++++++++++++++Rule application order: activationdynamicalertpasslog== Initialization Complete ==* Snort! *Version (Build 209)By Martin Roesch (roesch@, )正如你看到的這些輸出信息，Snort已經(jīng)開始監(jiān)聽eth0接口了。如果有任何包與規(guī)則匹配，Snort就會(huì)根據(jù)規(guī)則做出相應(yīng)的動(dòng)作并發(fā)出告警。告警可以以多種形式發(fā)出。在這種基本方式中，告警將被記錄到/var/log/snort/alerts文件中。后面，你將看到產(chǎn)生其他形式的告警并將它們記錄到數(shù)據(jù)庫中的方法，同時(shí)你也會(huì)了解Snort告警的數(shù)據(jù)文件的格式。你可以在任何時(shí)候同時(shí)按下ctrl鍵和c鍵來終止Snort進(jìn)程，這時(shí)Snort將顯示程序活動(dòng)的概要然后退出，如下所示：==========================================================Snort analyzed 65 out of 65 packets, dropping 0(%)packetsBreakdown by protocol: Action Stats:TCP: 55 (%) ALERTS: 10UDP: 10 (%) LOGGED: 10ICMP: 0 (%) PASSED: 0ARP: 0 (%)EAPOL: 0 (%)IPv6: 0 (%)IPX: 0 (%)OTHER: 0 (%)DISCARD: 0 (%)==========================================================Wireless Stats:Breakdown by type:Management Packets: 0 (%)Control Packets: 0 (%)Data Packets: 0 (%)==========================================================Fragmentation Stats:Fragmented IP Packets: 0 (%)Fragment Trackers: 0Rebuilt IP Packets: 0Frag elements used: 0Discarded(inplete): 0Discarded(timeout): 0Frag2 memory faults: 0==========================================================TCP Stream Reassembly Stats:TCP Packets Used: 55 (%)Stream Trackers: 1Stream flushes: 0Segments used: 0Stream4 Memory Faults: 0==========================================================Snort received signal 2, exiting[root@conformix snort]前面提到的方法是在前臺(tái)運(yùn)行Snort,用這種方式運(yùn)行Snort你在終端會(huì)失去提示符。你可以用命令行開關(guān)D來在后臺(tái)運(yùn)行Snort,這樣Snort仍然將告警信息記錄到/var/log/snort，同時(shí)你得到了提示符。注意，如果你是用RPM包安裝的Snort,那么你可以用“/etc/”命令使Snort在后臺(tái)運(yùn)行。2．2．3 Snort啟動(dòng)時(shí)的錯(cuò)誤 如果你是自己編譯的Snort,啟動(dòng)Snort的時(shí)候，有時(shí)會(huì)看到下面的錯(cuò)誤信息： [!] ERROR: Cannot get write access to logging directory /var/log/snort.(directory doesn39。t exist or permissions are set incorrectlyor it is not a directory at all)Fatal Error, Quitting..造成這個(gè)錯(cuò)誤的原因是你沒有創(chuàng)建/var/log/snort目錄。運(yùn)行“mkdir /var/log/snort”然后再啟動(dòng)Snort這個(gè)錯(cuò)誤就消失了。如果你看到下面的錯(cuò)誤信息，說明你在啟動(dòng)Snort沒有在命令行中正確指定配置文件的時(shí)候沒有指定配置文件。Initializing rule chains...ERROR: Unable to open rules file: /root/.snortrc or /root//root/.snortrcFatal Error, Quitting..注意：你可以下列情況，你可以不指定配置文件： 你在配置文件所在的目錄啟動(dòng)Snort。 。2．2．4 測試Snort 在啟動(dòng)Snort后，你需要知道Snort是否真正開始捕獲數(shù)據(jù)并紀(jì)錄入侵行為。如果你在前臺(tái)用命令行選項(xiàng)“A console”來啟動(dòng)Snort,你將在終端屏幕上看到告警信息。如果你用守護(hù)進(jìn)程模式啟動(dòng)Snort而不用上面的命令行選項(xiàng)，那么告警就記錄到/var/log/snort/alert文件中。 下面的命令將使你在控制臺(tái)或者/var/log/snort/alert文件中看到一些告警信息，你可以判斷Snort是否正常工作：ping n r b p 7569643d3028726f6f74290a c3 如果你用“A console”命令行選項(xiàng)，你應(yīng)該在屏幕上來到類似于下面的告警： 11/1918:51: [**] [1:498:3] ATTACK RESPONSES idcheck returned root [**] [Classification: Potentially