Centos 7にsnort 2.9.6をインストールしたい
インストールはうまくいき、セルフテストモードの結果も正しいですが、このコマンドを実行するとSnortをスニファーモードまたはnidsモードに変更します。次のエラーメッセージが表示されます。
」エラー:データリンクタイプ239をデコードできません。」
次の手順に従って、 "--enable-non-ether-decoders"オプションを含む再コンパイルを試みました。
./configure --enable-non-ether-decoders --enable-sourcefire
make
make install
make clean
まだそのエラーが発生しています。
ベストアンサー1
Linuxが誰も実行してはいけないDLT_値で何もしない限り、239は次のようになります。
/*
* NetFilter LOG messages
* (payload of netlink NFNL_SUBSYS_ULOG/NFULNL_MSG_PACKET packets)
*
* Requested by Jakub Zawadzki <[email protected]>
*/
#define DLT_NFLOG 239
これはnflogデバイスでキャプチャしたときに得られるものです。
nflogデバイス(「nflog」で始まるデバイス)を指定すると、snort 2.9.6はそのデバイスを処理できない可能性があるため、通常のネットワークデバイスでキャプチャする必要があります。
もしあなたならいいえnflogデバイスを指定した後、snortはnflogデバイスを明示的に開くか(処理できない場合はこれを実行しないでください)、デフォルトのデバイス(nflogデバイスではない)を使用します。
走るとどうなりますかtcpdump -D
?報告する最初のデバイスがnflogデバイスの場合、そのデバイス(およびsnort)は通常のデバイスを開くのに十分な権限で実行されていませんが、nflogデバイスを開くことができるか、nflogデバイスを一番上に置く他の問題があります。