kali安装配置snort实现简单的入侵检测

• kali上安装配置snort以及简单实验（这篇是我安装过程中最为简洁的，也是错误较少的）；
• Ubuntu 16.04安装snort含问题解决(示例代码)（这篇里面包含常见错误，虽然我出现的错误并没有解决）；

snort这个东西真的是魔鬼，前前后后在四个系统上安装了不知道多少次，最后终于在搭载了Ubuntu18的云服务器勉强安装完成。

• 网络不顺畅（这个也是以下很多原因出现的主要原因）；
• 依赖环境安装不全；

• snort版本和snort规则库版本不一致；
• 配置文件修改不当导致文件找不到；

一定要要先执行软件库的更新，这个也是很多新手不注意的地方，然后就知道问为啥我的软件安装不上，网络这么差。

sudo apt-get install update

sudo apt-get install flex -y
sudo apt-get install bison -y
sudo apt-get install aptitude -y
sudo aptitude install libpcap-dev -y

这一步可以在官网首页找到对应内容。一定要按照官网当前给出的版本包为准。
目前是2021.11.28，daq版本包为 daq-2.0.7.tar.gz。

# 1. 下载daq安装包
sudo wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
# 2. 解压
sudo tar xvfz daq-2.0.7.tar.gz
# 3. 切换路径
cd daq-2.0.7
# 4. 配置 编译 安装
./configure && sudo make && sudo make install
# 5. 回到上级菜单（很多新手，看别人的教程都是稀里糊涂，都不知道该在哪个路径下执行什么代码）
cd ..

sudo aptitude install libpcre3-dev -y 
sudo aptitude install libdumbnet-dev -y
sudo aptitude install zlib1g-dev -y

sudo apt-get install openssl -y
sudo apt-get install libssl-dev -y

# luaJIT库（我也不太懂这个是干嘛用的，但是不装会报错）
sudo wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz
sudo tar -zxvf LuaJIT-2.0.5.tar.gz
cd LuaJIT-2.0.5/
sudo make && sudo make install && cd ..

这里和前面的daq一样要选择当前官方首页的版本包。
目前是2021.11.28，snort版本包为 snort-2.9.18.1.tar.gz。
否则，很有可能没办法在官网下载。

sudo wget https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz
sudo tar xvfz snort-2.9.18.1.tar.gz                      
cd snort-2.9.18.1
./configure --enable-sourcefire && make && sudo make install

显示没有找到的头文件。

首先，输入：

sudo apt install libntirpc-dev

可以看看问题是否解决，然而我的问题并没有解决，继续。

apt-file search rpc/rpc.h

发现在ntirpc等文件夹下都有这个头文件，我的做法是，将ntripc下的所有文件都拷贝一份到/usr/include/下,问题得以解决：

sudo cp /usr/include/ntirpc/* /usr/include/ -r

#Snort的安装目录
sudo mkdir -p /etc/snort/rules/iplists
sudo mkdir -p /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir /etc/snort/so_rules

#存储过滤规则和服务器黑白名单
sudo touch /etc/snort/rules/iplists/default.blacklist
sudo touch /etc/snort/rules/iplists/default.whitelist
sudo touch /etc/snort/rules/so_rules

#创建日志目录
sudo mkdir /var/log/snort
sudo mkdir /var/log/snort/archived_logs

#调整权限
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort/rules/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules

sudo cp /home/kali/snort-2.9.18.1/etc/*.conf* /etc/snort
sudo cp /home/kali/snort-2.9.18.1/etc/*.map /etc/snort
sudo cp /home/kali/snort-2.9.18.1/etc/*.dtd /etc/snort
sudo cp /home/kali/snort-2.9.18.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/* /usr/local/lib/snort_dynamicpreprocessor/

# 打开配置文件
sudo vim /etc/snort/snort.conf

# 修改路径 找到对应复制即可
var RULE_PATH /etc/snort/rules 
var SO_RULE_PATH /etc/snort/so_rules 
var PREPROC_RULE_PATH /etc/snort/preproc_rules

var WHITE_LIST_PATH /etc/snort/rules/iplists/
var BLACK_LIST_PATH /etc/snort/rules/iplists/

whitelist $WHITE_LIST_PATH/default.whitelist,  
blacklist $BLACK_LIST_PATH/default.blacklist

# 1. 下载
wget https://www.snort.org/downloads/registered/snortrules-snapshot-29181.tar.gz
# 2. 解压
sudo tar zxvf snortrules-snapshot-29181.tar.gz -C /etc/snort
# 3. 复制 （要根据系统（RHEL应该是对应kali）和安装的包（2.9.18.1，通常只有一个文件夹）来选择）
sudo cp /etc/snort/so_rules/precompiled/RHEL-8/x86-64/2.9.18.1/* /usr/local/lib/snort_dynamicrules/

显然结果正常

sudo snort -T -c /etc/snort/snort.conf