Centos 7에 snort 2.9.6을 설치하고 싶습니다
설치는 잘 되었고 자가 테스트 모드의 결과도 올바르지만 이 명령을 실행하면 Snort를 스니퍼 모드나 nids 모드로 변경하게 됩니다. 다음 오류 메시지가 나타납니다.
"오류: 데이터 링크 유형 239를 디코딩할 수 없습니다."
다음 단계에 따라 " --enable-non-ether-decoders " 옵션을 포함하여 다시 컴파일을 시도했습니다.
./configure --enable-non-ether-decoders --enable-sourcefire
make
make install
make clean
아직도 그 오류가 발생해요
답변1
Linux가 누구도 수행해서는 안되는 DLT_ 값으로 작업을 수행하지 않는 한 239는 다음과 같습니다.
/*
* NetFilter LOG messages
* (payload of netlink NFNL_SUBSYS_ULOG/NFULNL_MSG_PACKET packets)
*
* Requested by Jakub Zawadzki <[email protected]>
*/
#define DLT_NFLOG 239
이것이 nflog 장치에서 캡처할 때 얻는 것입니다.
nflog 장치("nflog"로 시작하는 장치)를 지정하면 snort 2.9.6이 해당 장치를 처리하지 못할 수 있으므로 일반 네트워크 장치에서 캡처해야 합니다.
만약 너라면아니요nflog 장치를 지정한 다음 snort는 nflog 장치를 명시적으로 열거나(처리할 수 없으면 이 작업을 수행하면 안 됩니다!) 기본 장치(nflog 장치가 아니어야 함)를 사용합니다.
달리면 어떻게 되나요 tcpdump -D? 보고하는 첫 번째 장치가 nflog 장치인 경우 해당 장치(및 snort)는 일반 장치를 열 수 있는 충분한 권한으로 실행되고 있지 않지만 nflog 장치를 열 수 있거나 nflog 장치를 맨 위에 놓는 다른 문제가 있습니다.