安装snort抓不到数据，请大家帮忙帮我看看，谢谢。

xweiw

我用centos5.4通过源代码安装snort(mysql,php,httpd,snort通通都是通过源代码安装)，装好后打开http://ip/acid/acid_main.php抓不到数据。显示如下：Sensors: 0
Unique Alerts: 0
Total Number of Alerts: 0
Source IP addresses: 0
Dest. IP addresses: 0
Unique IP links 0

Source Ports: 0
TCP ( 0)  UDP ( 0)
Dest. Ports: 0
TCP ( 0)  UDP ( 0)
所有都是0，网段和网卡绑定都正确的，至少应该本机数据都能抓到啊，不知道为什么，请达人解答。谢谢。
我先贴一下我的配置文件，vi /etc/snort/snort.conf结果如下：
我只贴出修改项。
26行：var HOME_NET 192.168.2.0/24
120行：var RULE_PATH /etc/snort/rules
696行：output database: log, mysql, user=root password=123456 dbname=snort host=localhost
其他都是默认设置的。
当我输入：snort -c /etc/snort/snort.conf最后提示：
Initializing rule chains...
Warning: /etc/snort/rules/exploit.rules(139) => threshold (in rule) is deprecated; use detection_filter instead.
ERROR: (/etc/snort/rules/web-misc.rules)98 => Cannot use 'rawbytes' and 'http_uri' as modifiers for the same "content" nor use 'rawbytes' with "uricontent".
Fatal Error, Quitting..
好像有问题，但是不知道怎么解决

missuniverse110

先注释掉错误的规则
不是没抓到包，是没有收到攻击警报
用这个试一下，就会有结果

1. vim /etc/snort/rules/local.rules
   
2. 插入 “alert tcp any any <> any 80 (msg: "Test web activity";
   
3. sid:1000001;)”. 保存退出
   
4. 重启snort
   
5. 打开浏览器[url]www.google.com[/url]
   
6. [ctrl] + c 在命令行
   
7. 然后，http://xxx/xxx

复制代码

xweiw

果然有，谢谢啊，哈哈哈 开心，我只留了第一条规则include $RULE_PATH/local.rules，其他规则全都注释掉了。请问您可以解说一下其他规则的用处吗？我们公司现在要做一个snort，专门监控内部的数据库和web服务器，不知道要怎么做规则才好。谢谢啊。

blueswxs

有请高手出来，现身说法。哈哈

xweiw

等待中。。。。。。。。。。。。。

xweiw

哈哈，谢谢，我会好好研究的，对了，想请问下SNORT需要怎么部署，是不是跟一般的抓包软件，如sniffer或者科来一样，需要做端口镜像才行？

missuniverse110

1.snort工作在ips和ids模式。(Snort IDS and IPS Toolkit (Jay Beale's Open Source Security)里面有介绍)
2.交换网络要做port mirroring,共享媒体不需要
3.具体参考wireshark官方文档（其中包含了通过攻击技术实现抓包）
http://wiki.wireshark.org/CaptureSetup/Ethernet