您好我想在基于 mips-linux 的设备上运行 snort 2.9.4 ,因此我会交叉编译snort和所有支持包。
我在配置snort时使用选项--disable-static-daq因为我不想使用所有 daq 模式。我需要的只是 afpacket 模式。
当交叉编译正常时,我移动daq_afpacket.so,libsfbpf.so.0.0.1,libdaq.so.2.0.0,libdnet.1.0.1,libpcre.so.0.0.1,libpcap.so。 1到目标设备的/ usr / lib目录。并且二进制snort被移动到目标设备的/ bin目录中。
然后我像这样运行snort:
/bin/snort -vde --daq afpacket --daq-dir /usr/lib
输出显示:
以数据包转储模式运行
--== Initializing Snort ==--
初始化输出插件!
/usr/lib/daq_afpacket.so:dlopen:找不到文件
分段错误
如果我像这样运行snort:
# /bin/snort -vde --daq afpacket
以数据包转储模式运行
== Initializing Snort =
初始化输出插件!
错误:找不到afpacket DAQ!
致命错误,退出..
你知道我想念的是什么吗?
答案 0 :(得分:0)
让我自己回答:
daq_afpacket.so依赖于libsfbpf.so.0,这是指向so libsfbpf.so.0.0.1的符号链接。然后我必须将libsfbpf.so.0.0.1复制到/ usr / lib并创建它的symobl链接。
之后,snort可以像下面一样启动: / bin / snort -vde --daq afpacket --daq-dir / usr / lib --daq-var buffer_size_mb = 2 -i eth0&