二、安装和运行
编译snort成功后,执行 sudo make install 就顺利安装了。snort将会被安装到 /usr/local 目录下。
接下来要让snort运行起来。现在需要解压出刚才下载的snort规则库压缩包,假设解压后的文件夹名字叫做snort-rules-2905,该文件夹下的etc目录下有一个snort.conf文件,这个文件里面提供了一些默认配置,对本文来说是足够了,但是要运行起来,还有一个细节需要修改:
查找 compress_depth 20480 decompress_depth 20480 并将其中的两个20480 都替换为 65535
修改后记得保存一下。然后还需要将 snort-rules-2905/so_rules/precompiled/Ubuntu-10-4/i386/2.9.0.5 文件夹拷贝到 /usr/local/lib 下,并更名为 snort_dynamicrules。
完成上面的步骤后,就可以准备开始运行snort了。
打开控制台,切换到 /usr/local/bin 目录下,执行:
sudo ./snort -dev -l /home/jian/tmp/log -h 192.168.1.0/24 -c /home/jian/soft/snort-rules-2905/etc/snort.conf
其中 -l 参数指明了日志文件的存放位置,-h 参数指明了检测的网段,-c 参数指明了配置文件的位置。
如果运行成功,将会显示类似下面的画面:
【图3】成功运行snort
