手動打造Snort+barnyard2+BASE可視化報警平臺

背景

你們在安裝基於Snort NIDS系統， 感受很難，老是出錯，其餘安裝Snort並不難，難的是準備工做作得不充分，若是你作的很差，在配置可視化報警時會遇到各類問題，例如：

• 爲何Snort編譯總報錯？
• 爲何啓動Snort後會馬上退出？
• Snort不報警怎麼辦？
• MySQL數據庫裏沒法存儲Snort報警怎麼辦？
• 瀏覽器打開ACID，裏面一片空白怎麼辦？
  看着別人安裝成功了，我卻怎麼也裝不上？真是折磨人吶！下面咱們看看應對這些問題的方法。

1、準備工做

手動編譯安裝Snort時所需的準備工做以下所示。
步驟 1．準備軟件環境。在安裝前，必須在交換機上設置SPAN。中高端Cisco交換機都有SPAN功能。SPAN須爲一個專用端口。如下是在虛擬機環境下的實驗，須把網卡設置爲混雜模式。
步驟2．安裝VMware Workstations虛擬機。準備遠程鏈接 工具。
步驟3．到異步社區的本書頁面中統一獲取安裝資源。
步驟4．使用鏡像CentOS-6.8-x86_64-mini在虛擬機中安裝操做系統。
步驟5．重啓系統後設置系統IP、網關及DNS。
默認安裝時，網絡IP是自動獲取的，須要改爲靜態IP地址。
#ifconfig -a //查看網卡配置信息
#vi/etc/sysconfig/network-scripts/ifcfg-eth0 //編輯網卡配置文件
DEVICE="eth0"
BOOTPROTO="dhcp"
HWADDR="00:0C:29:BA:53:4E"
IPV6INIT="yes"
NM_CO***OLLED="yes" //因爲銘感詞被限制此出爲星號。
ONBOOT="yes"
TYPE="Ethernet"
UUID="685d0725-02ab-41b9-b9bf-6a52fc68c0f8"

修改成靜態IP地址的方法是將BOOTPROTO="dhcp"中的"dhcp"改成"static"，而後增長如下內容（內網IP配置）：
IPADDR=192.168.91.29
NETMASK=255.255.255.0
GATEWAY=192.168.91.2
DNS1=192.168.91.2
DNS2=8.8.8.8 //DNS地址的配置根據當地網絡供應商進行添加

最後保存退出，重啓網絡服務。
步驟6．複製軟件到指定目錄。
將libdnet-1.12.tgz、daq-2.0.4.tar.gz、snort-2.9.7.0.tar.gz、snortrules-snapshot-2970.tar.gz這4個文件複製到CentOS 6.8系統/usr/local/src/目錄下。
通過以上6個步驟以後，Snort安裝的準備工做完成。另外，Snort安裝配置路線圖參見《開源安全運維平臺OSSIM疑難解析：提升篇》一書中附錄中的圖一、圖2。網絡安裝包名稱及用途參見附錄中的表一、表二、表3，這三張表以及按照路線圖可讓初學者清晰的完成本文所介紹的各項試驗。

2、編譯並安裝Snort

準備工做完成以後，接着開始正式安裝Snort。編譯安裝Snort須要以下10個步驟。
步驟1．安裝基本環境和依賴包。
#yum install -y gcc gcc-c++ flex bison zlib libxml2 libpcap pcre* tcpdump git libtool curl man make

注意，若是沒有安裝pcre，在預編譯時就會出現如下問題，好比咱們執行./configure時，報錯：
ERROR! Libpcre library not found, go get it from http://www.pcre.org

步驟2．解壓Libdnet、DAQ及Snort安裝包。
在服務器的安裝配置過程當中，你們極可能會到官網下載最新版本的源碼包，可是那樣就會遇到各類依賴包缺失的問題，致使沒法安裝成功。由於有些軟件（好比Snort）要在DAQ（Data AcQuisition，數據採集器）library安裝好以後才能繼續安裝，而只有先Libdnet安裝完成，才能繼續安裝DAQ，不然會報錯找不到依賴文件，具體操做以下：
#cd /usr/local/src
#tar -zxvf libdnet-1.12.tgz
#tar -zxvf daq-2.0.4.tar.gz
#tar -zxvf snort-2.9.7.0.tar.gz

下面必須依次安裝Libdnet、DAQ和Snort這3個包。
● 安裝libdnet-1.12.tgz。
#cd /usr/local/src/libdnet-1.12/
#./configure
#make && make install

● 安裝DAQ。
#cd daq-2.0.4
#./configure
#make && make install

● 安裝Snort 2.9（安裝Snort前必定要正確安裝Libdnet和DAQ）。
#cd /usr/local/src/snort-2.9.7.0
#./configure --enable-sourcefire
#make && make install

步驟3．添加用戶和組。
建立用戶和組，並設置權限。在root身份下解包的文件權限都與root有關，因此要修改爲Snort用戶的屬主和相關權限。
#groupadd -g 40000 snort //新添加一個Snort組
#useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
//將Snort用戶加入Snort組，而且不容許登陸系統

步驟4．新建目錄/var/log/snort並設置其屬性。
#mkdir /var/log/snort
#chown –R snort:snort /var/log/snort

步驟5．配置Snort。
● 新建目錄/etc/snort/。
#mkdir /etc/snort/

● 將snortrules-snapshot-2970.tar.gz解壓到/etc/snort/目錄下。
#cd /etc/snort

tar –zxvf /usr/local/src/snortrules-snapshot-2970.tar.gz –C .（此步驟很關鍵）

#cp /etc/snort/etc/sid-msg.map /etc/snort

● 將下載的Snort壓縮包解壓縮後複製到/etc/snort/目錄下。
#cd /etc/snort/
#cp /usr/local/src/snort-2.9.7.0/etc/* .

● 設置當前目錄下全部文件的屬主。
#cd /etc/snort
#chown -R snort:snort *

● 新建黑白名單規則文件。
#touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules

在/etc/snort/rules下新建white_list.rules和black_list.rules這兩個文件。
● 編輯配置文件snort.conf，修改如下幾行的內容。
#vi /etc/snort/snort.conf

設置網絡變量，將第45行的ipvar HOME_NET any改成ipvar HOME_NET 192.168.x.x網段，並寫成CIDR格式。也能夠添加多個網段，來看下面的例子。
ipvar HOME_NET [192.168.0.0/16,172.16.0.0/16]
將48行ipvar EXTERNAL_NET any 改成 ipvar EXTERNAL_NET!$HOME_NET
第104行 var RULE_PATH ../ruls 改成 var RULE_PATH /etc/snort/rules
第105行 var SO_RULE_PATH ../so_rules 改成var SO_RULE_PATH /etc/snort/so_rules
第106行 var PREPROC_RULE_PATH ../preproc_rules 改成 var PREPROC_RULE_PATH/etc/snort/ preproc_rules
第113行 var WHITE_LIST_PATH ../rules 改成 var WHITE_LIST_PATH /etc/snort/rules
第114行 var BLACK_LIST_PATH ../rules 改成 var BLACK_LIST_PATH /etc/snort/rules

● 設置日誌保存路徑。
config logdir:/var/log/snort/

● 配置輸出插件。
Snort可經過數據庫插件（spo_database.c和spo_database.h）將預處理器輸出的日誌寫入數據庫，但下面的配置一方面將報警寫入alert文件，另外一方面將預處理器輸出的日誌寫入到unified2格式的二進制文件中，以供Barnyard2讀取使用。
將第521行修改爲以下內容：
output unified2:filename snort.log,limit 128

以上幾處修改完成後，保存退出。
步驟6．新建目錄snort_dynamicrules並設置權限。
#mkdir -p /usr/local/lib/snort_dynamicrules
#chown -R snort:snort /usr/local/lib/snort_dynamicrules
#chmod -R 755 /usr/local/lib/snort_dynamicrules

步驟7．在/usr/sbin/目錄下新建名爲Snort的軟連接文件。
#cd /usr/sbin
#ln -s /usr/local/bin/snort snort

步驟8．添加測試規則。
#vi /etc/snort/rules/local.rules

加入以下內容：
alert icmp any any -> $HOME_NET any (msg:"ICMP Packet Detected";sid:1000003;rev:1;)

步驟9．測試Snort。
#snort -T -i eht0 -u snort -g snort -c /etc/snort/snort.conf

若是配置正確，則系統啓動後顯示以下內容。
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Set gid to 113
Set uid to 109
--== Initialization Complete ==--
,,_ -> Snort! <-
o" )~ Version 2.9.3.1 IPv6 GRE (Build 40)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2012 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.02 2010-03-19
Using ZLIB version: 1.2.3.4
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.16 <Build 18>
Preprocessor Object: SF_GTP (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_SIP (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_SMTP (IPV6) Version 1.1 <Build 9>
Preprocessor Object: SF_IMAP (IPV6) Version 1.0 <Build 1>
Preprocessor Object: SF_DNS (IPV6) Version 1.1 <Build 4>
Preprocessor Object: SF_REPUTATION (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_DCERPC2 (IPV6) Version 1.0 <Build 3>
Preprocessor Object: SF_MODBUS (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_SSH (IPV6) Version 1.1 <Build 3>
Preprocessor Object: SF_SDF (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_POP (IPV6) Version 1.0 <Build 1>
Preprocessor Object: SF_SSLPP (IPV6) Version 1.1 <Build 4>
Preprocessor Object: SF_FTPTELNET (IPV6) Version 1.2 <Build 13>
Preprocessor Object: SF_DNP3 (IPV6) Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting

如出現「Snort successfully validated the configuration!」的提示，則表示安裝配置成功。
步驟10．用ping命令測試。
用ping命令進行測試的目的是爲了產生報警。ping命令使用ICMP協議，在IDS中使用Libpcap函數所捕獲的也是ICMP數據包。下面在Snort主機上操做：
#snort -i eth0 -c /etc/snort/snort.conf -A fast

與此同時，日誌文件記錄在/var/log/snort/alert和/var/log/snort/snort.log中。可用下面的命令查看。
#cd /var/log/snort/
#tail -f /var/log/snort/alert

alert文件收到報警，表明本實驗成功，下面要將這些報警存儲到數據庫，這此步最容易出錯。

注意：在上面介紹的第六、7步驟中若是沒有設置正確的路徑，那麼在啓動Snort時，就會出現找不到動態規則的文件，發生致命錯誤致使程序異常退出。
ERROR：parser.c（5047）

3、將Snort報警存入MySQL數據庫

將Snort報警存入MySQL數據庫須要以下幾個步驟。
步驟1．安裝MySQL數據庫及PHP擴展。
#yum install -y mysql-server mysql-devel php-mysql php-pear php-gd libtool php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc
#chkconfig --level 235 mysqld on //將MySQL服務設置爲在運行級別爲二、三、5時都是開啓狀態
#/etc/init.d/mysqld start

步驟2．爲數據庫管理員root賦予密碼。
#/usr/bin/mysqladmin -u root password '123456'

注意，root用戶登陸phpMyAdmin時，一樣使用這個密碼。
步驟3．建立Snort數據庫並設定讀取權限。
#mysql -u root -p

輸入步驟2中設置的密碼「123456」。
mysql>create database snort;
mysql>use snort;
mysql>create user 'snort'@'localhost' IDENTIFIED BY '123456';

在以上命令中，「123456」是MySQL中用戶Snort的密碼。
接着建立名爲snort、密碼爲「123456」的數據庫用戶，並賦予名爲「snort」的數據庫權限（先解壓barnyard2-1.9.tar.gz包）。
mysql>grant create,select,update,insert,delete on snort.* to snort@localhost identified by '123456';
mysql>set password for ‘snort’@’localhost’=password('123456'); //爲用戶snort設置訪問密碼
mysql>source /usr/local/src/barnyard2-1.9/schemas/create_mysql; //該命令不可重複輸入
mysql>show tables；
mysql>flush privileges; //刷新數據庫權限
mysql>exit

注意：先解壓barnyard2-2-1.13壓縮包；在執行前確保Snort庫被選中；barnyard2-2-1.13所在路徑要正確（使用絕對路徑）。
步驟4．安裝和配置Barnyard2。
Barnyard2的做用是讀取Snort產生的二進制事件文件並存儲到MySQL中。Snort的配置文件自身含有插件，它容許將Snort報警記錄到MySQL中，但這樣一來，系統數據會激增。當IDS系統檢測到***行爲時，它會用INSERT語句向數據庫中寫入數據，致使更新很是慢。因此若是直接將Snort輸出到數據庫，在數據量增大時這種方案的效率並不高，故使用外部代理將報警輸出到Barnyard2。
●源碼包安裝。
#cd /usr/local/src/
#tar zxvf barnyard2-1.9.tar.gz
#cd barnyard2-1.9/
#./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql //此處配置參數很重要，切勿出錯

#make //見到以下內容後，纔可繼續安裝

只有確保上面關鍵兩步不出錯，才能繼續安裝。若是報錯，須要根據提示查找錯誤緣由，如忽略錯誤，繼續往下作都是徒勞的。
#make install

● 配置Barnyard2。
首先在/var/log/中建立目錄Barnyard2和文件barnyard2.waldo。
#mkdir /var/log/barnyard2
#touch /var/log/snort/barnyard2.waldo

● 設置文件barnyard2.waldo的屬主。
#chown snort.snort /var/log/snort/barnyard2.waldo

● 複製Barnyard2的配置文件。
與Snort配置相似，Barnyard的初始化配置也是經過複製已有的.conf配置文件來完成。所以先將Barnyard2的配置模板文件複製到/etc/snort目錄下。
#cp /usr/local/src/barnyard2-1.9/etc/barnyard2.conf /etc/snort

● 修改配置文件barnyard2.conf。
#vi /etc/snort/barnyard2.conf

找到對應行並將其修改爲以下內容：
第44行 config logdir:/var/log/barnyard2 //該目錄權限爲snort.snort
第56行 config hostname: localhost
第57行 config interface: eth0
第131行 config waldo_file:/var/log/snort/barnyard2.waldo

修改完成以後保存並退出。
下面這條語句用來設置數據庫訪問權限，其中定義了用戶名爲snort，密碼爲123456，數據庫名稱爲snort，主機名爲localhost。
第318行 output database: log,mysql,user=snort password=123456 dbname=snort host=localhost

編輯完成後保存退出。
● 修改目錄的屬主。
#chown snort.snort /var/log/barnyard2

● 啓動Snort和Barnyard2進行聯合測試。
#snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 –D

● 測試Barnyard2。
#barnyard2 –c /etc/snort/barnyard2.crnf –d/var/log/snort/
-f snort.log –w /var/log/snort/barnyard2 waldo
-g snort –u snort -T
此時不會看到輸出結果，由於程序在後臺運行（「-D」參數表示後臺運行）。
一樣ping主機，繼續執行如下命令。
#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log –w /var/log/snort/barnyard2.waldo

命令參數的解釋以下所示。
● -c：該選項指定Barnyard配置文件的路徑。該參數爲必選項。
● -d：指定Unified格式文件的路徑，這裏指定爲/var/log/snort/，全部Unified文件必須放在該目錄下。該參數爲必選項。
● -f：該選項指定Barnyard以連續方式運行時的Unified文件名。Snort在每次生成的Snort Unified文件後面都加了一個UNIX時間戳，去掉時間戳後綴就是文件名。
● -w：該選項打開檢驗功能，告訴Barnyard檢驗文件名（也稱爲waldo文件）。該文件用於記錄文件中最近處理的報警。若是不使用waldo文件，則Barnyard必須完整地載入一個日誌文件，該參數的做用是將報警信息傳送至***數據庫。

若是在以上顯示中發現最後一行出現「Waiting for new spool file」，則表示上面的操做成功。在/var/log/snort目錄下有一些snort.log+times_stamp的二進制文件，這些文件由Snort輸出插件所生成。

步驟5．使用下述命令查詢報警信息是否存入數據庫。
#mysql -u snort -p -D snort -e "select count(*) from event"

實際操做效果以下所示。

若是在count(*)下方沒有數字，則表示報警信息沒有存入數據庫，那麼須要從頭檢查配置過程。參數含義以下。
[root@localhost ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort
Running in Continuous mode
--== Initializing Barnyard2 ==--
Initializing Input Plugins!
Initializing Output Plugins!
Parsing config file "/etc/snort/barnyard2.conf"
Log directory = /var/log/barnyard2
database: compiled support for (mysql)
database: configured to use mysql
database: schema version = 107
database: host = localhost
database: user = snort
database: database name = snort
database: sensor name = localhost:eth0
database: sensor id = 1
database: sensor cid = 1
database: data encoding = hex
database: detail level = full
database: ignore_bpf = no
database: using the "log" facility

--== Initialization Complete ==--

__ -> Barnyard2 <-
/ ,,_ \ Version 2.1.9 (Build 263)
|o" )~| By the SecurixLive.com Team: http://www.securixlive.com/about.php

• '''' + (C) Copyright 2008-2010 SecurixLive.

  Snort by Martin Roesch & The Snort Team: http://www.snort.org/team.html
     (C) Copyright 1998-2007 Sourcefire Inc., et al.

WARNING: Ignoring corrupt/truncated waldofile '/var/log/snort/barnyard2.waldo'
Waiting for new spool file

4、搭建BASE的可視化***檢測系統

若是以上三部分中全部環節均正常，說明已經安裝了Snort系統並將報警信息存入數據庫。接下來開始安裝BASE（Basic Analysis and Security Engine,基於ACID構建）的步驟，Barnyard將MySQL中的Snort報警信息經過Web展現的具體原理如圖1所示。

圖1 Barnyard存儲原理
要將存儲在數據庫中的日誌展示在Web端，須要安裝BASE（*檢測事件展現的前端程序），這裏用到的版本是base-1.4.5.tar.gz。既然用到了Web服務，那麼首先須要安裝好LAMP環境，而後再安裝BASE包。此處服務器IP地址爲192.168.1.120。具體安裝步驟以下。
步驟1**．安裝httpd、mysql-server、mysql-devel、php、php-mysql、php-mbstring、php-mcrypt。
命令以下所示。
#yum install –y httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel php-gd

步驟2．安裝PHP插件（mcrypt、libmcrypt、libmcrypt-devel），命令以下所示。
#yum install –y mcrypt libmcrypt libmcrypt-devel php-pear

更新插件的時間比較長，操做以下所示。
#pear upgrade pear

步驟3．繼續執行下列命令。
#pear channel-update pear.php.net

安裝 Image_Graph-alpha、Image_Canvas-alpha、Image_Color、Numbers_Roman 這 4個包。
操做以下所示。
#pear channel-update pear.php.net
#pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

步驟4．安裝ADOdb包。
雖然PHP是建構Web系統強有力的工具，可是PHP存取數據庫的功能並未標準化，MySQL使用了另外一種不一樣且不兼容的應用程序接口。此時須要使用ADOdb做爲中介進行轉換。ADOdb的最大優勢是無論後端數據庫如何，存取數據庫的方式都是一致的。目前ADOdb的最新版本是5.20，它支持的數據庫種類很是多，例如MySQL、PostgreSQL、Oracle等。下面開始安裝ADOdb，首先將adodb520.tar.gz解壓到/var/www/html/目錄下。
#tar zxvf adodb519.tar.gz –C /var/www/html/

解壓後發現增長了一個目錄adodb5，將這個目錄更名爲adodb。
#mv /var/www/html/adodb5 /var/www/html/adodb

步驟5．解壓BASE包。
#tar zxvf base-1.4.5.tar.gz –C /var/www/html

解壓後發現增長了一個目錄base-1.4.5，接着須要對它重命名。
#mv /var/www/html/base-1.4.5/ /var/www/html/base

步驟6．修改PHP配置文件。
#vi /etc/php.ini

將第513行內容改爲以下內容。
error_reporting = E_ALL & ~E_NOTICE
修改完畢保存並退出。

注意：對於error_reporting()函數的解釋：
error_reporting() 設置 PHP 的報錯級別並返回當前級別，錯誤報告是分級的，下面咱們瞭解一下這個函數錯誤報告等級。

• E_ALL - 全部的錯誤和警告
• E_ERROR - 致命性運行時錯
• E_WARNING - 運行時警告（非致命性錯）
• E_PARSE - 編譯時解析錯誤
• E_NOTICE - 運行時提醒(這些常常是是你的代碼的BUG引發的。

步驟7．改變屬組並設置權限。
#chown –R apache:apache /var/www/html
#chmod -R 755 /var/www/html

步驟8．重啓MySQL、Web和Firewall服務。
#service mysqld restart //啓動數據庫服務
#service httpd restart //重啓Web服務
#service iptables stop //關閉防火牆

步驟9．在Web界面設置BASE。
打開瀏覽器輸入網址http://192.168.1.120/base/setup/index.php，輸入完畢後彈出安裝界面，如圖1-7所示。
單擊Continue按鈕，開始選擇語言和ADOdb路徑，如圖1-8所示。
語言項選擇中文，ADOdb路徑中輸入/var/www/html/adodb，單擊Continue按鈕。接下來輸入數據庫名稱、訪問用戶名和密碼，如圖1-9所示。

圖1-7 開始設置BASE

圖1-8 設置ADOdb路徑

圖1-9 設置數據庫
下一步將管理員名稱設置爲root，密碼依然是「123456」，Full Name沒必要設置，如圖1-10所示。

圖1-10 設置root密碼
下一步開始建立BASE表結構，如圖1-十一、圖1-12所示。

圖1-11 準備建立BASE表結構

圖1-12 BASE表建立完成
若是看到表acid有建立完成的提示而且BASE tables狀態顯示爲「DONE」，則表示安裝完成。單擊屏幕最下方的step5…按鈕結束安裝。在客戶機終端命令行中ping主機192.168.1.120，隨後就能在BASE界面中收到ICMP報警，如圖1-13所示。

圖1-13 收到報警
若是在Web的BASE界面中收到ICMP報警，則代表BASE安裝設置完成。
步驟10．安裝phpMyAdmin。
#yum install phpmyadmin
修改配置文件
#vi /etc/httpd/conf.d/phpMyAdmin.conf
註銷第24行的Deny from ALL
#service httpd restart
在Web界面下輸入用戶名snort，密碼爲123456

若是要刪除報警，首先勾選須要刪除的報警，而後在「動做」下拉菜單中選擇「刪除報警」選項，如圖1-14所示。

圖1-14 刪除報警

注意：在步驟3中須要特別留意Image_Graph的安裝狀況若是安裝報錯或者漏裝，當你打開BASE界面時會出現沒法繪製圖象的錯誤。以上這些錯誤有不少都是準備工做（安裝Snort和PHP組件）作的不充分。

思考題：

1.爲了在OSSIM前端能顯示豐富的圖形，系統中必須安裝（ ）庫，它是一種圖形庫，可讓PHP繪製各類圖形，可以建立Jpg、PNG和BMP圖像。
A．Zlib B.GD C.Glibc

2.下列選項中屬於HIDS優點的選項包括（ ），屬於HIDS侷限性包括（ ）。
A.HIDS須要將代理程序部署到要監視的每一個主機，部署繁瑣。
B.HIDS不能檢測網絡偵察或掃描
C.HIDS能夠檢測到***是否成功
D.HIDS監視系統活動
E.HIDS可檢測文件或應用程序的變化

3. 爲了提升libpcap處理數據包的效率，OSSIM 2.3平臺上採用了基於零拷貝思想的( ) 機制，因爲這種機制避免了屢次內存複製並減小CPU的干預，故能夠在高速網環境下進行數據抓包分析。
   A.PF_RING B.NAPI C.DMA

4.snort規則中由reference選項定義所支持的外部系統，這些網址的內容保存在文件 中。
A . /etc/snort/reference.config B /etc/snort/snort.conf C /etc/snort.conf

5.Zlib、Libdnet、DAQ、ADOdb這些組件在整個系統中各起到什麼做用？
對於這幾道問題的解答，你們能夠到個人新書中找到。

備註：已經安裝好的Snort+barnyard+BASE的試驗環境，虛擬機（OVA格式）下載： https://pan.baidu.com/s/1dFeMX9n