1.Libdnet安装

进入到/root/snort 目录下，然后解压 libdnet-1.12.tgz，输入命令 tar zxf libdnet-1.12.tgz解压，然后进入到libdnet-1.12目录下，再执行./configure && make && make install 进行安装编译。

2.Libpcap安装

进入/root/snort 目录，解压 libpcap-1.5.3.tar.gz，并进入 libpcap-1.5.3 下，执行./configure && make && make install， 完成 libpcap 的编译安装。

3.Daq安装

进入/root/snort 目录，输入命令 tar zxf daq-2.0.4.tar.gz 解压 daq-2.0.4.tar.gz 文件。使用 cd 命令切换到 daq-2.0.4 的目录下。执行命令“./configure”对 daq-2.0.4 进行配置。

得到如下反馈信息说明，说明成功安装。

执行命令 make && make install 进行安装。得到如下信息说明安装成功。

4.Snort

和前面其他软件的安装方法一样，首先进入/root/snort 目录，然后解压 snort 再使用命令 cd snort-2.9.7.0 进入 snort 的目录，执行命令“./configure && make && make install” 进行安装，安装完成如下图。

配置完成信息如下。

5.Snort 的配置

依次执行以下命令，新建一些 snort 需要的文件夹。

然后再为 snort 创建一个白名单文件和一个黑名单文件。

并将所需配置文件复制到相应文件夹中。

编辑 snort 的配置文件，修改路径变量为放置规则的文件路径。

设置 log 目录 config logdir:/var/log/snort。

添加配置输出插件 output unified2:filename snort.log, limit 128。

解压/root/snort 下的 rules 文件至/etc/snort/下。 解压后，将文件 sid-msg.map 复制到/etc/snort 目录下。

输入命令 snort -T -i eth0 -c /etc/snort/snort.conf，进行测试。-T 参数为测试的意思，-i 指定接口，-c 指定配置文件。

得到返回“successful”字样说明，安装及配置成功。

6.嗅探与数据包记录器

登录虚拟机后，输入命令 snort -v，进行 snort 的启动。启动 snort 会得到回显。红框部分为当前运行的模式。snort 版本及版权信息。

打开终端并输入命令 snort -i ens33 -vde 命令， 对 ens33 网卡进行监测。

然后切换到 windows7 客户机，点击开始输入 cmd 打开命令行终端，执行命令 ping 192.168.146.131 -t。

切换回 centos7 机器，Ctrl+C 结束 snort 监测。查看完整数据包并进行分析。数据包中包含的信息有包捕获的时间。 数据包中可以得知源 MAC 地址及目的 MAC 地址。

可以得知源 IP 地址为 192.168.146.132，目的地址为 192.168.146.131。

可得知数据帧所负载的上层协议类型为 IP（0x800），总长度为（0x4A）。数据包中 IP 头的 TTL 值是 128，TOS 值为 0。IP 长度为 20，IP 载荷是 60 字节。

得知数据包的传输协议为 ICMP。

输入命令 cd /var/log/snort，ls 查看当前目录下文件内容。

在终端中执行命令 snort -i ens33 -de -l /var/log/snort 命令，该命令含义为启动 snort，记录详细信息保存到路径为/var/log/snort 目录。

切换回地址为 centos7 的主机上，看到终端中显示 warning 信息。因为没有了-v 参数，所以数据包信息不会在终端中显示。

切换到地址为 192.168.146.132 的主机上，点击开始输入 cmd 打开命令行，在终端执行命令 ping 192.168.146.131 -t。

使用 ctrl+c 按键结束 snort 的进程。然后进入目录/var/log/snort，使用命令 ls -l 查看文件。 成功将 snort 的记录保存到文件中，而且这是二进制文件。

因为系统本身记录的格式就是二进制的，如果再转换成我们能识别的 ASCII 格式无疑会加重系统负荷，所以 Snort 在做 IDS 使用时采用的是二进制格式记录，使用 cat 命令无法查看。

如果想查看所记录的日志就需要使用 snort 的-r 参数。使用 snort 命令查看日志文件，执行命令 snort -dvr snort.log.1733562529，可以看到刚刚 snort 抓取的数据包信息。

7.遇到的问题

问题1：

ERROR! LuaJIT library not found. Go get it from http://www.luajit.org/ (or)

Try compiling without openAppId using ‘–disable-open-appid’

configure: error: “Fatal!”

解决方法：

./configure --disable-open-appid

问题2：

在centos里，终端输入ifconfig，ens33消失，Windows7无法ping通目标主机。

解决方法：

方法一：ifconfig ens33 192.168.146.131（这个写你自己想设置的ip地址） up

方法二：终端输入以下命令

systemctl stop NetworkManager

systemctl disable NetworkManager

systemctl restart network

虚拟机启动之后，突然发现没有ens33网卡的解决方法：常见的BUG---1、虚拟机启动之后，突然发现没有ens33网卡-阿里云开发者社区

问题三：

在终端中执行命令 snort -de -l /var/log/snort 命令，该命令执行无效。

解决方法：

在终端中执行命令 snort -i ens33 -de -l /var/log/snort 命令。