搭建snort inline

时间：2006-04-21 来源：smx2lh

一.什么是snort inline? 下面是说明出自snort inline的官方网站： http://snort-inline.sourceforge.net/index.html snort_inline is basically a modified version of Snort that accepts packets from iptables, via libipq, instead of libpcap. It then uses new rule types (drop, sdrop, reject) to tell iptables whether the packet should be dropped, rejected, modified, or allowed to pass based on a snort rule set. Think of this as an Intrusion Prevention System (IPS) that uses existing Intrusion Detection System (IDS) signatures to make decisions on packets that traverse snort_inline 简单的理解就是IPS版snort. 目前利用snort inline 不仅仅可以作单纯的IPS，还可以搭配linux bridge、iptables等技术来搭建蜜网系统（honeynet）二.蜜罐和蜜网什么是蜜罐技术？
－－蜜罐技术是引诱黑客进行攻击，记录黑客行为的情报收集系统。
由于蜜罐系统本身也可能有安全问题，被黑客控制后可能作为攻击其它系统的跳板，因此引出了蜜网。

那么什么是蜜网呢？
－－蜜网可以说是更安全更强大的蜜罐，它以更合理的方式记录下黑客的行动，同时尽量减少可能对其它系统造成的危害。

honeynet是一个由爱好者自由发起的一个蜜网工程。他们的网址是www.honeynet.org

三.搭建snort inline

我是在linux 2.4.22上搭建的。

1>需要的软件包：

snort inline-2.2.0

pcre-6.3

iptables-1.2.8

Libnet-1.0.2a

snort_conf.tar.gz

这里需要注意的是要根据你所用的kernel版本选择适合的软件包版本。

其中snort inline 和libnet的版本又有所关联，编译安装的时候要注意