root@lord./configure--with-libpcap- includes=/home/dood/libpcap}root@lord]#makeroot @lord]# make install
Ushbu jarayondan so‘ng Snort kompyuterda o'rnatiladi. Endi Snort jurnalfayllarini saqlaydigan katalog yaratish kerak:
root@lord]#mkdir/var/log/snort Dastur qayerda o'rnatilganligini tasdiqlash uchun quyidagilarni bajarish
kerak:
root@lord]#whereissnort Snort arxitekturasi uchta asosiy tarkibiy qismga ega, ularni quyidagichatavsiflash mumkin:
Paket dekoderi: ushlangan paketlarni ma'lumotlar turi shaklida tayyorlaydi, keyinchalik ularni aniqlash mexanizmi yordamida qayta ishlashi mumkin. Paket dekoderi Ethernet, SLIP va PPP paketlarini qayd etishi mumkin.
Aniqlash mexanizmi: Snort qoidalari asosida unga "dekoder" tomonidan yuborilgan paketlarni tahlil qiladi va qayta ishlaydi. Snortning funksionalligini oshirish uchun o'zgaruvchan modullarni aniqlash mexanizmiga kiritish mumkin.
Logger/Alerter: Registrator siz o'qigan formatda paket dekoder tomonidanto'plangan ma'lumotlarni yozib olish imkonini beradi. Odatda, ro'yxatdan o'tish fayllari katalogda saqlanadi:/var/log/Snort.
Ogohlantirish mexanizmi ogohlantirishlarni syslog, fayl, Unix soketlari yoki ma'lumotlar bazasiga yuboradi. Odatda, barcha ogohlantirishlar faylda saqlanadi:
/var/log/Snort/alerts.
Dastur va uning rejimlarini o'rganish
Ushbu bo'limda SNORT tushunchalari va buyruqlarini batafsil muhokama qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq bilan boshlanadi:
root@lordsnort-? Buyruq quyidagilarni beradi:
-*> Snort! <*- Versio n 1.7 By Martin Roesch (roesch@clark.net, www.snort.org)USAGE:snort[-options] Options: -A Set alert mode: fast, full, or none (alert file alertsonly)'unsock'enablesUNIXsocketlogging (experimental). -aDisplayARPpackets -bLogpacketsintcpdumpformat(muchfaster!) -cUseRulesFile -CPrintoutpayloadswithcharacterdataonly(nohex) -dDumptheApplicationLayer -DRunSnortinbackground(daemon)mode -eDisplaythesecondlayerheader info -FReadBPFfiltersfrom file -gRunsnortgidas'gname'useroruidafterinitialization -hHomenetwork= -iListenoninterface -lLogtodirectory -nExitafterreceivingpackets -NTurnofflogging(alertsstillwork) -oChangetheruletestingordertoPass|Alert|Log