概述

Snort3 是一款广泛使用的入侵检测系统，可以分析网络流量来检测攻击行为，并将其记录下来。Snort3也可以作为防火墙使用，可以根据规则对流量进行过滤。

概述

此版本的 Snort++ 包括新功能以及所有 Snort 2.X 功能和 Snort 基本版本的错误修复，但以下所示除外：

Project = Snort++
Binary = snort
Version = 3.0.0 (Build 250) from 2.9.11

以下是 Snort++ 的一些主要特性：

支持多个数据包处理线程
使用共享配置和属性表
使用简单的、可编写脚本的配置
使关键组件可插拔
无端口配置的自动检测服务
支持规则中的粘性缓冲区
自动生成参考文档
提供更好的跨平台支持
促进组件测试
使用共享网络映射

路线图上的其他功能包括：

支持数据包处理流水线
支持硬件卸载和数据平面集成
支持代理模式
Windows 支持

依赖关系

[hidecontent type="logged" desc="隐藏内容：登录后可查看"]

如果您已经构建了 Snort，那么您可能拥有所需的一切。如果没有，请获取最新的：

cmake 从源代码构建
来自https://github.com/snort3/libdaq的数据包 IO
来自https://github.com/dugsong/libdnet.git的 dnet用于网络实用程序功能
flex >= 2.6.0 来自https://github.com/westes/flex用于 JavaScript 语法解析器
g++ >= 5 或其他 C++14 编译器
来自https://www.open-mpi.org/projects/hwloc/的 hwloc用于 CPU 关联管理
来自http://luajit.org的 LuaJIT用于配置和脚本
来自https://www.openssl.org/source/的 OpenSSL用于 SHA 和 MD5 文件签名、protected_content 规则选项和 SSL 服务检测
来自http://www.tcpdump.org的 pcap用于 tcpdump 样式日志记录
来自http://www.pcre.org的 pcre用于正则表达式模式匹配
来自https://www.freedesktop.org/wiki/Software/pkg-config/的 pkgconfig以找到构建依赖项
zlib 来自http://www.zlib.net用于解压

附加软件包提供可选功能。查看手册了解更多信息。

下载

snort.org 上的下载部分提供了一个源码压缩包：

snort-3.0.0-a3.tar.gz

您还可以通过以下方式获取代码：

git clone https://github.com/snort3/snort3.git

cmake 有单独的 extras 包，它们提供额外的功能并演示如何构建插件。extras 的源代码在 snort3_extra.git 仓库中。

构建 SNORT

按着这些次序：

如果您使用的是 github 克隆：
```
cd snort3/
```
否则，请执行以下操作：
```
tar zxf snort-tarball
cd snort-3.0.0*
```

设置安装路径：
```
export my_path=/path/to/snorty
```
编译安装：

要使用 cmake 和 make 构建，请运行 configure_cmake.sh。它将自动创建并填充一个名为“build”的新子目录。
```
./configure_cmake.sh --prefix=$my_path
cd build
make -j $(nproc) install
```

注意：

如果你可以执行 src/snort -V 你就成功构建了。
如果您熟悉 cmake，则可以运行 cmake/ccmake 而不是 configure_cmake.sh。
cmake --help 将列出任何可用的生成器，例如 Xcode。随意使用一个，但是将单独提供帮助。

运行鼻息

这里有些例子。如果您使用 Talos 规则和/或配置，您应该首先在 snort.lua 和 snort_defaults.lua 的顶部设置任何需要的变量。

Snort++ 从命令行提供了很多帮助，包括：

$my_path/bin/snort --help
$my_path/bin/snort --help-module suppress
$my_path/bin/snort --help-config | grep thread

检查并转储 pcap。在下面，将 a.pcap 替换为您喜欢的：

$my_path/bin/snort -r a.pcap
$my_path/bin/snort -L dump -d -e -q -r a.pcap

使用或不使用规则验证配置：

$my_path/bin/snort -c $my_path/etc/snort/snort.lua
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules

运行 IDS 模式。在下面，将 pcaps/ 替换为包含一个或多个 *.pcap 文件的目录的路径：

$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
    -r a.pcap -A alert_test -n 100000

让我们抑制 1:2123。我们可以编辑 conf 或者只是这样做：

$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
    -r a.pcap -A alert_test -n 100000 --lua "suppress = { { gid = 1, sid = 2123 } }"

在具有多个数据包线程的目录上全力以赴：

$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
    --pcap-filter \*.pcap --pcap-dir pcaps/ -A alert_fast --max-packet-threads 8

其他示例在 doc/usage.txt 中给出。

文档

查看手册，其中部分内容由代码生成，因此它保持最新：

$my_path/share/doc/snort/snort_manual.pdf
$my_path/share/doc/snort/snort_manual.html
$my_path/share/doc/snort/snort_manual/index.html

它还没有太多关于如何以及为什么，但它确实有所有当前可用的配置等。规则的一些关键变化：

您必须像这样使用逗号分隔的内容子选项：content:"foo", nocase;
缓冲区选择器必须出现在内容之前，并且在更改之前一直有效
pcre 缓冲区选择器被删除
查看手册以了解有关 Snort++ 与 Snort 的更多信息
检查手册参考部分以了解如何定义参数等。

它还涵盖了此处未展示的新功能：

snort2lua，一种将 Snort 2.X conf 和规则转换为新形式的工具
一个新的 HTTP 检查器
活页夹，用于将配置映射到流量
独立于端口的配置向导
改进的规则解析 - 任意空格、C 风格注释、#begin/#end 注释
本地和远程命令行 shell

[/hidecontent]