n  snortwatch – программка на python, позволяющая отслеживать предупреждения, генерируемые Snort.

n  Даже имеется система обнаружения аномальных событий на основе их вероятности – SPADE (Statistical Packet Anomaly Detection Engine).

Создаётся впечатление, что для Snort пишут свои добавления все, кому не лень это делать, что даже очень хорошо, так как это говорит о реальной популярности программы и гибкости её использования.

Пробежавшись далее быстро по всем встречающимся директориям, мы можем встретить документацию в doc, файлы конфигурации в etc, правила в rules, исходники в src и образцы препроцессоров для обработки данных в templates.

Для успешности последующих действий в вашем компьютере должны быть установлены средства разработки приложений, остальное всё, как обычно, перед компиляцией Snort необходимо запустить конфигурирование:

# ./configure

Для самого простого случая, как у нас, не надо передавать никаких параметров. (Забегая вперёд, для продвинутых пользователей скажу, что для конфигурации Snort для работы с БД MySQL следует указывать параметр --with-mysql, со всеми остальными рассмотрим этот режим работы Snort позже, возможно, даже в следующей статье). В процессе конфигурации осуществляется проверка на наличие всех необходимых компонент. Так как Snort работает в режиме сниффера, когда перехватывает пакеты, то он использует библиотеку libpcap. Если вы никогда не ставили её и не пользовались пакетом tcpdump, то у вас её может не оказаться, и тогда вы через несколько строчек после запуска увидите сообщение о произошедшей ошибке и необходимости установки библиотеки.

       Рисунок 6. Сообщение с ошибкой во время запуска конфигурирования о необходимости установки библиотеки libpcap

В RedHat 7.3 libpcap-0.6.2-12.i386.rpm находится на втором диске в директории /RedHat/RPMS. (В RedHat 9.0 файл уже называется libpcap-0.7.2-1.i386.rpm и находится тоже на втором диске в той же директории).

Устанавливаем библиотеку (с поправкой на вашу версию):

# rpm -i libpcap-0.6.2-12.i386.rpm

и запускаем конфигурирование повторно.

В случае успешного завершения, то есть отсутствия сообщений об ошибках, можем запустить компиляцию командой:

# make

из директории /progi/snort-2.0.2, куда мы распаковали пакет. После завершения компиляции у нас в директории /progi/snort-2.0.2/src должен появиться запускаемый файл – snort. Это и есть готовая программа. (У меня её размер 1224986). Если её просто запустить, то она выдаст информацию о ключах и пожалуется на то, что мы, «глупые» пользователи, не сообщили, что ей после запуска нужно делать: «Uh, you need to tell me to do something...» Программа готова к работе, задавая нужные ключи, можно запустить её работать, однако более разумным будет предварительное копирование программы в систему, то есть «установка» на своё место. С помощью команды: